Manuel Statik Analiz — Phorpiex/Trik Botnet | Tehdit: YUKSEK
Archivo Kimliği
| SHA256 | 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Tamaño | 113.664 byte (111KB — küçük botnet istemcisi) |
| String Sayisi | 758 (yoğun packed) |
C2 IP: 178.16.54.109
C2 TESPİT: Doğrudan IP + çoklu payload zinciri!
http://178.16.54.109/lb10.exe http://178.16.54.109/lb11.exe http://178.16.54.109/lb12.exe (kısaltılmış) -- 178.16.54.109 = Phorpiex C2 sunucusu -- "lb" = "loader binary" (yükleyici ikili dosyası) -- lb10/lb11/lb12 = ardışık yüklenecek payload'lar -- Her biri farklı bir işlev üstlenebilir (keylogger, spambot, crypto miner) -- Botnet: kademeli payload dağıtımı → farklı "modüller" ayrı indirilir
MyAgent: Mutex Tanımlayıcı
MyAgent -- Phorpiex'in sistem mutexı -- Çifte çalıştırmayı önler -- "MyAgent" = saldırganın seçtiği kimlik
IOC
| SHA256 | 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| C2 IP | 178.16.54.109 |
| Payload | lb10.exe, lb11.exe, lb12.exe |
Phorpiex — Perfil del malware
Phorpiex/Trik botnet. 178.16.54.109 C2 IP. lb10/lb11/lb12 cok asamali payload. Spam + crypto mining + clipper.
Tipo de malware
Botnet
Lenguaje de programación
C++
Protocolo C2
HTTP/P2P
Sistemas objetivo
Kuresel
Capacidades y comportamiento
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Lista IOC (1 indicadores)
IOC — Phorpiex
# SHA256
12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
Servidores C2 (4 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| 178.16.54.109 | ip | — | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.