Manuel Statik Analiz — Prometei Botnet (Linux ELF) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 0edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2 |
|---|---|
| Format | Linux ELF (Yürütülebilir) |
| Boyut | 449.081 byte |
| String Sayisi | 3.033 |
UPX Paket ve Madencilik Cüzdanları
http://upx.sf.net -- UPX packer imzası (SourceForge URL) -- Prometei sıkça UPX pack kullanır: analizi zorlaştırır -- Unpack: upx -d sample.elf BTC Madencilik: 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk -- XMRig veya benzeri miner gömülü -- C2'ye bağlanarak madencilik havuzu alır
POSIX Threading (Çapraz Platform)
{PTHR*_MUTEX_} -- POSIX Thread mutex (libpthread)
-- Linux + macOS uyumlu (POSIX API)
-- Prometei aynı anda Windows + Linux hedefler
-- Windows sürümü ayrı EXE olarak dağıtılır
Prometei Hakkında
Prometei, 2020'de keşfedilen Rusya/Çin bağlantılı botnet'tir. Windows ve Linux varyantlarıyla çapraz platform çalışır. Exchange sunucu güvenlik açıklarını (ProxyLogon, EternalBlue) kullanarak yayılır. Monero madenciliği için XMRig kullanır, ek payload download capability içerir.
IOC
| SHA256 | 0edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2 |
|---|---|
| BTC | 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV |
| BTC | 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk |
| Packer | UPX (SourceForge) |
Prometei — Malware Profile
Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.
Malware Type
Botnet
Programming Language
C
C2 Protocol
TCP/Tor
Target Systems
Kuresel
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (2 indicators)
IOC — Prometei
# DOMAIN
sf.net
# MUTEX
1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
| Type | Value | Note |
|---|---|---|
| domain | sf.net | |
| mutex | 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk | BTC cüzdanı |