Manuel Statik Analiz — XMRig CoinMiner ELF | Tehdit: KRITIK
Dosya Kimligi
| SHA256 | e55ed4e871eb3ed2d086e8e30876ca9572b48ea54d413b02e62a9e9f0a8c06a |
|---|---|
| Dosya Adi | _up.bin (Linux ELF) |
| Boyut | 5.338.704 byte (5.3MB) |
| String Sayisi | 22.265 |
| Platform | Linux ELF (x86_64) |
Acik Metin Mining Pool -- DOGRULANMIS
KRITIK IOC: Mining pool adresleri acik metin olarak bulundu.
extranonce.su <-- XMR mining pool mining.su <-- XMR mining pool glibc.me <-- Linux ELF kütüphane (sahte pozitif degil, suspicious domain)
Ghostrider Algoritma
ghostrider/rtm -- Ghostrider (Raptoreum) algoritma ghostrider -- Ghostrider Monero mining pool_wallet -- Cuzdan adresi config alani
IOC
| SHA256 | e55ed4e871eb3ed2d086e8e30876ca9572b48ea54d413b02e62a9e9f0a8c06a |
|---|---|
| Mining Pool | extranonce.su |
| Mining Pool | mining.su |
| Algoritma | Ghostrider (XMR/RTM) |
XMRig — Malware Profili
XMRig, acik kaynakli Monero (XMR) miner aracinin kotu amacli degistirilmis surumleridir. Linux ELF ve Windows PE olarak dagitilir. Ghostrider, RandomX ve diğer algoritmalari destekler. Mining pool adreslerini cleartext icerir.
Malware Tipi
Coinminer
Programlama Dili
C++
C2 Protokolü
TCP
Hedef Sistemler
Windows/Linux
Yetenekler ve Davranış
CPU/GPU Madenciliği
Kripto Para Üretimi
Kaynak Kullanımı
Kalıcılık
Anti-Analiz
Yayılma Mekanizması
IOC Listesi (3 gösterge)
IOC — XMRig
# DOMAIN
extranonce.su
# DOMAIN
mining.su
# DOMAIN
glibc.me
| Tür | Değer | Not |
|---|---|---|
| domain | extranonce.su | |
| domain | mining.su | |
| domain | glibc.me |
C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| mining.su | domain | — | TCP | active | — |
| extranonce.su | domain | — | TCP | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.