Manuel Statik Analiz — Phorpiex Botnet | Tehdit: KRITIK
Datei Kimliği
| SHA256 | 12815f32a4ba6e897e3c5f1a4b9d8e2f7c0a3b6d9e1f4c7a0b2d5e8f1a4c6e9b |
|---|---|
| Größe | 113.664 byte |
| String Sayisi | 758 |
Açık Metin C2 Payload URL'leri -- DOGRULANMIS
KRITIK: Payload indirme URL'leri açık metin tespit edildi.
http://178.16.54.109/lb10.exe -- Payload indirme C2 #1 http://178.16.54.109/lb11.exe -- Payload indirme C2 #2 http://178.16.54.109/lb12 -- Payload indirme C2 #3
GeoIP Konumlama
ip-api.com -- Kurban GeoIP konum tespiti
Phorpiex Hakkında
Phorpiex (Trik), 2016'dan beri aktif botnet ailesidir. Sextortion spam kampanyaları, kripto jacking ve ransomware (Avaddon, GandCrab) dağıtımı yapmaktadır. P2P ve HTTP C2 karışımı kullanır. lb*.exe pattern ile sıralı payload indirir.
IOC
| SHA256 | 12815f32a4ba6e897e3c5f1a4b9d8e2f7c0a3b6d9e1f4c7a0b2d5e8f1a4c6e9b |
|---|---|
| C2 | 178.16.54.109 |
| Payload | lb10.exe, lb11.exe, lb12 |
Phorpiex — Malware-Profil
Phorpiex/Trik botnet. 178.16.54.109 C2 IP. lb10/lb11/lb12 cok asamali payload. Spam + crypto mining + clipper.
Malware-Typ
Botnet
Programmiersprache
C++
C2-Protokoll
HTTP/P2P
Zielsysteme
Kuresel
Fähigkeiten & Verhalten
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC-Liste (1 Indikatoren)
IOC — Phorpiex
# SHA256
12815f32a4ba6e897e3c5f1a4b9d8e2f7c0a3b6d9e1f4c7a0b2d5e8f1a4c6e9b
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 12815f32a4ba6e897e3c5f1a4b9d8e2f7c0a3b6d9e1f4c7a0b2d5e8f1a4c6e9b |
C2-Server (4 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| 178.16.54.109 | ip | — | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.