Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK
Archivo Kimliği
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Tamaño | 1.373.184 byte (1.3MB) |
| String Sayisi | 6.288 |
InstallHinfSection: LOLBIN INF Yürütme
LOLBIN: Meşru Windows aracı aracılığıyla kod yürütme!
rundll32.exe %s,InstallHinfSection %s 128 %s -- "%s" = INF dosyası yolu (dinamik) -- "InstallHinfSection" = INF kurulum bölümü çalıştır -- "128" = bayrak: sessiz kurulum -- "%s" = bölüm adı (örn: "DefaultInstall") DefaultInstall -- INF dosyası → registry değişikliği, dosya kopyalama, komut çalıştırma -- LOLBIN: rundll32 meşru → AV imzasını tetiklemez -- Amadey: .inf dosyası ile ek payload kurulumu
Command.com /c: Eski Kabuk
Command.com /c %s -- "Command.com" = Windows 9x/NT komut kabuğu (cmd.exe değil!) -- Eski COMMAND.COM kullanımı = modern EDR'ları atlama girişimi -- cmd.exe yerine Command.com → bazı davranış analiz araçları gözden kaçırır -- /c = komutu çalıştır ve çık
Lokasyon Tespiti
Control Panel\Desktop\ResourceLocale -- Windows bölgesel ayarları registry anahtarı -- Amadey: kurbanın dil/ülke bilgisini okur -- CIS ülkeleri (Rusya, Ukrayna, Belarus) → enfeksiyon durdurulabilir
IOC
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| LOLBIN | rundll32.exe + InstallHinfSection |
Amadey — Perfil del malware
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Tipo de malware
Loader
Lenguaje de programación
C
Protocolo C2
HTTP
Sistemas objetivo
Windows
Capacidades y comportamiento
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Lista IOC (1 indicadores)
IOC — Amadey
# SHA256
920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
Servidores C2 (1 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.