Manuel Statik Analiz — Prometei Botnet | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |
|---|---|
| Boyut | 449.081 byte (UPX packed) |
| String Sayisi | 3.033 |
JSON Cleartext Konfigürasyonu
Kritik IOC: Botnet konfigürasyonu string olarak açıkça görülüyor!
{"config":1,"id":"p463k2B8F51lz1Eb","enckey":"OjBvPJkR52j4E0ljPfblHiGN1HzahRX..."}
-- config: 1 = aktif botnet config versiyonu
-- id: "p463k2B8F51lz1Eb" = BOT ID / kampanya kimliği
-- enckey: "OjBvPJkR52j4E0ljPfblHiGN1HzahRX" = şifreleme anahtarı!
Bitcoin Cüzdanları
1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV -- Prometei Monero madencilik BTC adresi #1 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk -- Prometei BTC adresi #2
Prometei Hakkında
Prometei (Prometheus + botnet), 2016'dan beri aktif çok modüllü botnet ailesidir. EternalBlue (MS17-010) ve BlueKeep (CVE-2019-0708) açıklarıyla ağa yayılır. Monero kripto para madenciliği yapar. Gizli ağ altyapısı için Tor kullanır. Backdoor, keylogger ve ransomware yükleme kapasitesine sahiptir. İran kaynaklı olduğu değerlendirilmektedir.
IOC
| SHA256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |
|---|---|
| Bot ID | p463k2B8F51lz1Eb |
| BTC | 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV |
| Exploit | EternalBlue (MS17-010) |
Prometei — Malware Profile
Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.
Malware Type
Botnet
Programming Language
C
C2 Protocol
TCP/Tor
Target Systems
Kuresel
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (1 indicators)
IOC — Prometei
# SHA256
0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
| Type | Value | Note |
|---|---|---|
| sha256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |