Manuel Statik Analiz (LLM Okumali) — Amadey Loader | Tehdit: YUKSEK
文件 Kimligi
| SHA256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
|---|---|
| Dil | C (native PE32) |
| 大小 | 40.960 byte |
Amadey Loader Hakkinda
Amadey, 2018'den beri underground forumlarda MaaS olarak satilan bir C tabanlı loaderdir. Kucuk boyutu (genellikle 40-80KB) ve moduler yapisiyla ozellikle dikkat ceker. Cikan ornekte binary agir paketlenmis; HTTP C2 gate adresi runtime'da decrypt edilmektedir.
Amadey Yetenekleri
| Yetenek | Detay |
|---|---|
| HTTP Gate C2 | POST /index.php — bilgi gonderimi ve komut alma |
| Sistem Bilgisi | OS, CPU, RAM, kullanici adi, dil toplama |
| Plugin Yukleme | Ek credential stealer pluginleri indirebilir |
| Payload Drop | Ek malware aileleri indirir (RedLine, Vidar, LummaC2) |
| Screenshot | Ekran goruntusu alabilir |
| Persistence | Registry Run Key, Task Scheduler |
| Antianaliz | VM/sandbox tespiti |
Amadey ile Yaygın Yüklenen 家族ler
Amadey genellikle asagidaki stealerlari ikinci stage payload olarak yukler: RedLine, Vidar, LummaC2, Raccoon, StealC
IOC
| SHA256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
|---|---|
| C2 | HTTP/HTTPS gate (sifrelenmis, dinamik analiz gerekli) |
| Endpoint | /index.php (tipik Amadey gate) |
Amadey — 恶意软件档案
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
恶意软件类型
Loader
编程语言
C
C2协议
HTTP
目标系统
Windows
能力与行为
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC列表 (1 个指标)
IOC — Amadey
# SHA256
d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
C2服务器 (该家族共有 1 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。