Manuel Statik Analiz — Prometei Botnet | Tehdit: KRITIK
Arquivo Kimliği
| SHA256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |
|---|---|
| Tamanho | 449.081 byte (UPX packed) |
| String Sayisi | 3.033 |
JSON Cleartext Konfigürasyonu
Kritik IOC: Botnet konfigürasyonu string olarak açıkça görülüyor!
{"config":1,"id":"p463k2B8F51lz1Eb","enckey":"OjBvPJkR52j4E0ljPfblHiGN1HzahRX..."}
-- config: 1 = aktif botnet config versiyonu
-- id: "p463k2B8F51lz1Eb" = BOT ID / kampanya kimliği
-- enckey: "OjBvPJkR52j4E0ljPfblHiGN1HzahRX" = şifreleme anahtarı!
Bitcoin Cüzdanları
1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV -- Prometei Monero madencilik BTC adresi #1 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk -- Prometei BTC adresi #2
Prometei Hakkında
Prometei (Prometheus + botnet), 2016'dan beri aktif çok modüllü botnet ailesidir. EternalBlue (MS17-010) ve BlueKeep (CVE-2019-0708) açıklarıyla ağa yayılır. Monero kripto para madenciliği yapar. Gizli ağ altyapısı için Tor kullanır. Backdoor, keylogger ve ransomware yükleme kapasitesine sahiptir. İran kaynaklı olduğu değerlendirilmektedir.
IOC
| SHA256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |
|---|---|
| Bot ID | p463k2B8F51lz1Eb |
| BTC | 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV |
| Exploit | EternalBlue (MS17-010) |
Prometei — Perfil do malware
Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.
Tipo de malware
Botnet
Linguagem de programação
C
Protocolo C2
TCP/Tor
Sistemas-alvo
Kuresel
Capacidades e comportamento
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Lista IOC (1 indicadores)
IOC — Prometei
# SHA256
0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |