Manuel Statik Analiz — Prometei Botnet (Linux ELF) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 0edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2 |
|---|---|
| Format | Linux ELF (Yürütülebilir) |
| Boyut | 449.081 byte |
| String Sayisi | 3.033 |
UPX Paket ve Madencilik Cüzdanları
http://upx.sf.net -- UPX packer imzası (SourceForge URL) -- Prometei sıkça UPX pack kullanır: analizi zorlaştırır -- Unpack: upx -d sample.elf BTC Madencilik: 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk -- XMRig veya benzeri miner gömülü -- C2'ye bağlanarak madencilik havuzu alır
POSIX Threading (Çapraz Platform)
{PTHR*_MUTEX_} -- POSIX Thread mutex (libpthread)
-- Linux + macOS uyumlu (POSIX API)
-- Prometei aynı anda Windows + Linux hedefler
-- Windows sürümü ayrı EXE olarak dağıtılır
Prometei Hakkında
Prometei, 2020'de keşfedilen Rusya/Çin bağlantılı botnet'tir. Windows ve Linux varyantlarıyla çapraz platform çalışır. Exchange sunucu güvenlik açıklarını (ProxyLogon, EternalBlue) kullanarak yayılır. Monero madenciliği için XMRig kullanır, ek payload download capability içerir.
IOC
| SHA256 | 0edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2 |
|---|---|
| BTC | 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV |
| BTC | 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk |
| Packer | UPX (SourceForge) |
Prometei — Malware Profili
Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.
Malware Tipi
Botnet
Programlama Dili
C
C2 Protokolü
TCP/Tor
Hedef Sistemler
Kuresel
Yetenekler ve Davranış
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC Listesi (2 gösterge)
IOC — Prometei
# DOMAIN
sf.net
# MUTEX
1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
| Tür | Değer | Not |
|---|---|---|
| domain | sf.net | |
| mutex | 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk | BTC cüzdanı |