Manuel Statik Analiz (LLM Okumali) — Amadey Loader | Tehdit: YUKSEK

文件 Kimligi

SHA256d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
DilC (native PE32)
大小40.960 byte

Amadey Loader Hakkinda

Amadey, 2018'den beri underground forumlarda MaaS olarak satilan bir C tabanlı loaderdir. Kucuk boyutu (genellikle 40-80KB) ve moduler yapisiyla ozellikle dikkat ceker. Cikan ornekte binary agir paketlenmis; HTTP C2 gate adresi runtime'da decrypt edilmektedir.

Amadey Yetenekleri

YetenekDetay
HTTP Gate C2POST /index.php — bilgi gonderimi ve komut alma
Sistem BilgisiOS, CPU, RAM, kullanici adi, dil toplama
Plugin YuklemeEk credential stealer pluginleri indirebilir
Payload DropEk malware aileleri indirir (RedLine, Vidar, LummaC2)
ScreenshotEkran goruntusu alabilir
PersistenceRegistry Run Key, Task Scheduler
AntianalizVM/sandbox tespiti

Amadey ile Yaygın Yüklenen 家族ler

Amadey genellikle asagidaki stealerlari ikinci stage payload olarak yukler: RedLine, Vidar, LummaC2, Raccoon, StealC

IOC

SHA256d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
C2HTTP/HTTPS gate (sifrelenmis, dinamik analiz gerekli)
Endpoint/index.php (tipik Amadey gate)

Amadey — 恶意软件档案

Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.

恶意软件类型
Loader
编程语言
C
C2协议
HTTP
目标系统
Windows

能力与行为

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC列表 (1 个指标)

IOC — Amadey
# SHA256 d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
类型备注
sha256 d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a

C2服务器 (该家族共有 1 台已记录服务器)

地址 类型 端口 协议 状态 国家
196.251.107.104 ip 80 HTTP active —

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
amadeyloadermaashttp-c2payload-dropperplugin-sistem