FINGER BLOSS WEG DAVON - SOFORT 
Wenn ihr die alten Domains anwählt, erfolgt im Hintergrund eine Umleitung, die für alle erstmal so ausschaut, als würde im Browser der Host anstatt der Domain aufgerufen, weil das DNS schrott ist…!!
Siehe:
oder:
Für den PR0N-Stream Bereich hatten die auch noch → amateur-streamz.t0
immer un Betrieb.
Im selben Cluster befanden sich auch deren Mail-Server „gut versteckt“! Habe mal über Solarwinds eine Mail-Ser ver Analyse angeschmissen.
Das kam dabei raus:
Und in den dedizierten Clustern unseres „verstorbenen“ Registrars standen noch eine Menge Büchsen, um deren CDN mit Power zu versorgen!
Also alles was mit Register.t0 zu tun hat oder hatte, könnte man nun mal physisch als verloren betrachten!! Seitdem ist die Firma komplett in Auflösung und Chaos begriffen - StreamZ war bestimmt ein größerer Kunde, die hatten aber noch genügend andere, die denen nun auf der Matte stehen…
So denn, weiter gehts mit:
StreamZ
Habe die URL mal über Hybrid-Analysis gejagt…ich konnte aber wegen Zeitmangel nur die gröbsten Analyse-Tools nutzen, hat trotzdem fast 24 Min. gedauert !!
Das über mir poppte danach dann als erstes mit auf!
General
Creates mutants
details
"\Sessions\1\BaseNamedObjects\Local\!BrowserEmulation!SharedMemory!Mutex"
"\Sessions\1\BaseNamedObjects\Local\VERMGMTBlockListFileMutex"
"\Sessions\1\BaseNamedObjects\Local\URLBLOCK_FILEMAPSWITCH_MUTEX_3180"
"\Sessions\1\BaseNamedObjects\Local\URLBLOCK_HASHFILESWITCH_MUTEX"
"\Sessions\1\BaseNamedObjects\Local\URLBLOCK_DOWNLOAD_MUTEX"
"\Sessions\1\BaseNamedObjects\Local\ZonesCacheCounterMutex"
"\Sessions\1\BaseNamedObjects\Local\ZonesLockedCacheCounterMutex"
"\Sessions\1\BaseNamedObjects\IsoScope_c6c_IE_EarlyTabStart_0xdf4_Mutex"
"\Sessions\1\BaseNamedObjects\IsoScope_c6c_ConnHashTable<3180>_HashTable_Mutex"
"\Sessions\1\BaseNamedObjects\{5312EE61-79E3-4A24-BFE1-132B85B23C3A}"
"\Sessions\1\BaseNamedObjects\IsoScope_c6c_IESQMMUTEX_0_303"
"\Sessions\1\BaseNamedObjects\IsoScope_c6c_IESQMMUTEX_0_331"
"\Sessions\1\BaseNamedObjects\{66D0969A-1E86-44CF-B4EC-3806DDDA3B5D}"
"Local\InternetShortcutMutex"
"Local\!BrowserEmulation!SharedMemory!Mutex"
"{5312EE61-79E3-4A24-BFE1-132B85B23C3A}"
"IsoScope_c6c_IE_EarlyTabStart_0xdf4_Mutex"
"Local\ZonesLockedCacheCounterMutex"
"IsoScope_c6c_IESQMMUTEX_0_331"
"IsoScope_c6c_ConnHashTable<3180>_HashTable_Mutex"
source
Created Mutant
relevance
3/10
Installation/Persistence
Dropped files
details
"~DF9338587A7EE741EA.TMP" has type "data"- Location: [%TEMP%\~DF9338587A7EE741EA.TMP]- [targetUID: 00000000-00003180]
"5VDFM7JQ.htm" has type "HTML document ASCII text"- Location: [%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\37NU00GP\5VDFM7JQ.htm]- [targetUID: 00000000-00002692]
"_B1495B43-BB3C-11ED-A72B-080027D2DDC4_.dat" has type "Composite Document File V2 Document Cannot read section info"- [targetUID: N/A]
"RecoveryStore._88B090C0-D917-11E7-B67B-080027A49DD6_.dat" has type "Composite Document File V2 Document Cannot read section info"- [targetUID: N/A]
"imagestore.dat" has type "data"- Location: [%LOCALAPPDATA%\Microsoft\Internet Explorer\imagestore\3mt7jhv\imagestore.dat]- [targetUID: 00000000-00003180]
"~DFD52FD20F36917484.TMP" has type "data"- Location: [%TEMP%\~DFD52FD20F36917484.TMP]- [targetUID: 00000000-00003180]
"~DFF9A365F1A0E7DF3B.TMP" has type "data"- Location: [%TEMP%\~DFF9A365F1A0E7DF3B.TMP]- [targetUID: 00000000-00003180]
"RecoveryStore._B1495B41-BB3C-11ED-A72B-080027D2DDC4_.dat" has type "Composite Document File V2 Document Cannot read section info"- [targetUID: N/A]
"favicon_2_.ico" has type "MS Windows icon resource - 1 icon 16x16 2 colors"- [targetUID: N/A]
"_B8E79ED4-BB3C-11ED-A72B-080027D2DDC4_.dat" has type "Composite Document File V2 Document Cannot read section info"- [targetUID: N/A]
"~DF3D28B51CDC1D088F.TMP" has type "data"- Location: [%TEMP%\~DF3D28B51CDC1D088F.TMP]- [targetUID: 00000000-00003180]
"urlref_httpuser8289.gfq349fn34n3q4n.net" has type "HTML document ASCII text with very long lines"- [targetUID: N/A]
source
Extracted File
relevance
3/10
ATT&CK ID
T1105 (Show technique in the MITRE ATT&CK™ matrix)
Network Related
Found potential URL in binary/memory
details
Pattern match: "http://user8289.gfq349fn34n3q4n.net/"
Pattern match: "http://user8289.gfq349fn34n3q4n.net"
Heuristic match: "http___u_,er8_89.gfq349fn34n3q4n.net/"
source
String
relevance
10/10
Network Related
* [Found potential URL in binary/memory](https://hybrid-analysis.com/sample/205a339afe8357e0ac39675a83dd6f34900786e23eb0d338f860a34e5226597b/6404761f7b4c82cacc00277a#signature-ee8357e421efee19e1610c7bc6b56378)
details
Pattern match: "http://user8289.gfq349fn34n3q4n.net/"
Pattern match: "http://user8289.gfq349fn34n3q4n.net"
Heuristic match: "http___u_,er8_89.gfq349fn34n3q4n.net/"
source
String
relevance
10/10
Najaaa…mehr ging noch nicht in so kurzer Zeit! Es ist auch erst Sonntag 
Da StreamZ nunmal definitiv ein großer Kunde für DEDIS / VPS / KVMs für Docker war und kein 08/15-Kunde der Fraktion → Ey, ich brauch mal nen VPS mit 10er ssd und 8gb ram - wenns geht für unter 2 Euro…
…werden sich die beiden Unternehmen wohl gut gekannt haben in der Vergangenheit. Dieser doch sehr ominöse Todesfall und parael der plötzliche, überraschende Tod des Streamers plus der Malware-Aktionen / Funde / Überreste etc. könnten einem morgen glatt ne ganze 50m Rolle Alufolie kaufen lassen…
