Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK

Archivo Kimliği

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tamaño1.373.184 byte (1.3MB)
String Sayisi6.288

InstallHinfSection: LOLBIN INF Yürütme

LOLBIN: Meşru Windows aracı aracılığıyla kod yürütme!
rundll32.exe %s,InstallHinfSection %s 128 %s
-- "%s" = INF dosyası yolu (dinamik)
-- "InstallHinfSection" = INF kurulum bölümü çalıştır
-- "128" = bayrak: sessiz kurulum
-- "%s" = bölüm adı (örn: "DefaultInstall")
DefaultInstall
-- INF dosyası → registry değişikliği, dosya kopyalama, komut çalıştırma
-- LOLBIN: rundll32 meşru → AV imzasını tetiklemez
-- Amadey: .inf dosyası ile ek payload kurulumu

Command.com /c: Eski Kabuk

Command.com /c %s
-- "Command.com" = Windows 9x/NT komut kabuğu (cmd.exe değil!)
-- Eski COMMAND.COM kullanımı = modern EDR'ları atlama girişimi
-- cmd.exe yerine Command.com → bazı davranış analiz araçları gözden kaçırır
-- /c = komutu çalıştır ve çık

Lokasyon Tespiti

Control Panel\Desktop\ResourceLocale
-- Windows bölgesel ayarları registry anahtarı
-- Amadey: kurbanın dil/ülke bilgisini okur
-- CIS ülkeleri (Rusya, Ukrayna, Belarus) → enfeksiyon durdurulabilir

IOC

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LOLBINrundll32.exe + InstallHinfSection

Amadey — Perfil del malware

Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.

Tipo de malware
Loader
Lenguaje de programación
C
Protocolo C2
HTTP
Sistemas objetivo
Windows

Capacidades y comportamiento

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Lista IOC (1 indicadores)

IOC — Amadey
# SHA256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TipoValorNota
sha256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

Servidores C2 (1 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
196.251.107.104 ip 80 HTTP active —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
amadeyrundll32-installhinfsection-lolbininf-file-executioncommand-com-c-old-shellresourcelocale-detectcreatemutex-adecryptfilea