Manuel Statik Analiz — Phorpiex/Trik Botnet | Tehdit: YUKSEK

ファイル Kimliği

SHA25612815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
サイズ113.664 byte (111KB — küçük botnet istemcisi)
String Sayisi758 (yoğun packed)

C2 IP: 178.16.54.109

C2 TESPİT: Doğrudan IP + çoklu payload zinciri!
http://178.16.54.109/lb10.exe
http://178.16.54.109/lb11.exe
http://178.16.54.109/lb12.exe (kısaltılmış)
-- 178.16.54.109 = Phorpiex C2 sunucusu
-- "lb" = "loader binary" (yükleyici ikili dosyası)
-- lb10/lb11/lb12 = ardışık yüklenecek payload'lar
-- Her biri farklı bir işlev üstlenebilir (keylogger, spambot, crypto miner)
-- Botnet: kademeli payload dağıtımı → farklı "modüller" ayrı indirilir

MyAgent: Mutex Tanımlayıcı

MyAgent
-- Phorpiex'in sistem mutexı
-- Çifte çalıştırmayı önler
-- "MyAgent" = saldırganın seçtiği kimlik

IOC

SHA25612815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
C2 IP178.16.54.109
Payloadlb10.exe, lb11.exe, lb12.exe

Phorpiex — マルウェアプロファイル

Phorpiex/Trik botnet. 178.16.54.109 C2 IP. lb10/lb11/lb12 cok asamali payload. Spam + crypto mining + clipper.

マルウェアの種類
Botnet
プログラミング言語
C++
C2プロトコル
HTTP/P2P
標的システム
Kuresel

機能と挙動

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOCリスト (1 件の指標)

IOC — Phorpiex
# SHA256 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
タイプメモ
sha256 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0

C2サーバー (このファミリーで4台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
178.16.54.109 ip — HTTP active —
178.16.54.109 ip 80 HTTP active —
178.16.54.109 ip 80 HTTP active —
178.16.54.109 ip 80 HTTP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
phorpiex178-16-54-109-c2-iplb10-exe-lb11-lb12-payload-chainmyagent-mutexmulti-stage-downloadtrik-botnet