Manuel Statik Analiz — Phorpiex (Trik) Botnet | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Größe | 113.664 byte (küçük, hızlı yayılan botnet core) |
| String Sayisi | 758 |
Zincir İndirme C2 IP
C2 IP: 178.16.54.109 — lb10/lb11/lb12 zincir yükleme!
http://178.16.54.109/lb10.exe -- Yük 1 http://178.16.54.109/lb11.exe -- Yük 2 http://178.16.54.109/lb12 -- Yük 3 (uzantısız) -- "lb" = "load bot" veya "load binary" -- Sıralı indirme = her biri farklı payload (sextortion spam, ransomware, stealer) -- Ham IP: domain takedown dayanıklılığı
Coğrafi Konum Filtresi
ip-api.com -- GeoIP servisi sorgulama -- Ülke/bölge tespiti → hedef filtresi -- Bazı Phorpiex varyantları belirli ülkeleri atlar
Phorpiex / Trik Hakkında
Phorpiex (diğer adıyla Trik), 2016'da tespit edilen ve sextortion/spam kampanyalarıyla ünlü botnet'tir. Zirve döneminde 1.5 milyon enfekte makine barındırdı. Fidye yazılımı dağıtımı için de kullanıldı. 2021'de bazı operatörler yeraltı forumda kaynak kodu sattı.
IOC
| SHA256 | 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 IP | 178.16.54.109:80 |
| İndirme | /lb10.exe, /lb11.exe, /lb12 |
Phorpiex — Malware-Profil
Phorpiex/Trik botnet. 178.16.54.109 C2 IP. lb10/lb11/lb12 cok asamali payload. Spam + crypto mining + clipper.
Malware-Typ
Botnet
Programmiersprache
C++
C2-Protokoll
HTTP/P2P
Zielsysteme
Kuresel
Fähigkeiten & Verhalten
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC-Liste (2 Indikatoren)
IOC — Phorpiex
# IP
178.16.54.109
# DOMAIN
ip-api.com
| Typ | Wert | Bemerkung |
|---|---|---|
| ip | 178.16.54.109 | |
| domain | ip-api.com |
C2-Server (4 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| 178.16.54.109 | ip | — | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.