Manuel Statik Analiz (LLM Okumali) — Amadey Loader | Tehdit: YUKSEK
Archivo Kimligi
| SHA256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
|---|---|
| Dil | C (native PE32) |
| Tamaño | 40.960 byte |
Amadey Loader Hakkinda
Amadey, 2018'den beri underground forumlarda MaaS olarak satilan bir C tabanlı loaderdir. Kucuk boyutu (genellikle 40-80KB) ve moduler yapisiyla ozellikle dikkat ceker. Cikan ornekte binary agir paketlenmis; HTTP C2 gate adresi runtime'da decrypt edilmektedir.
Amadey Yetenekleri
| Yetenek | Detay |
|---|---|
| HTTP Gate C2 | POST /index.php — bilgi gonderimi ve komut alma |
| Sistem Bilgisi | OS, CPU, RAM, kullanici adi, dil toplama |
| Plugin Yukleme | Ek credential stealer pluginleri indirebilir |
| Payload Drop | Ek malware aileleri indirir (RedLine, Vidar, LummaC2) |
| Screenshot | Ekran goruntusu alabilir |
| Persistence | Registry Run Key, Task Scheduler |
| Antianaliz | VM/sandbox tespiti |
Amadey ile Yaygın Yüklenen Familialer
Amadey genellikle asagidaki stealerlari ikinci stage payload olarak yukler: RedLine, Vidar, LummaC2, Raccoon, StealC
IOC
| SHA256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
|---|---|
| C2 | HTTP/HTTPS gate (sifrelenmis, dinamik analiz gerekli) |
| Endpoint | /index.php (tipik Amadey gate) |
Amadey — Perfil del malware
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Tipo de malware
Loader
Lenguaje de programación
C
Protocolo C2
HTTP
Sistemas objetivo
Windows
Capacidades y comportamiento
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Lista IOC (1 indicadores)
IOC — Amadey
# SHA256
d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
Servidores C2 (1 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.