Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK
文件 Kimliği
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 大小 | 1.373.184 byte (1.3MB) |
| String Sayisi | 6.288 |
InstallHinfSection: LOLBIN INF Yürütme
LOLBIN: Meşru Windows aracı aracılığıyla kod yürütme!
rundll32.exe %s,InstallHinfSection %s 128 %s -- "%s" = INF dosyası yolu (dinamik) -- "InstallHinfSection" = INF kurulum bölümü çalıştır -- "128" = bayrak: sessiz kurulum -- "%s" = bölüm adı (örn: "DefaultInstall") DefaultInstall -- INF dosyası → registry değişikliği, dosya kopyalama, komut çalıştırma -- LOLBIN: rundll32 meşru → AV imzasını tetiklemez -- Amadey: .inf dosyası ile ek payload kurulumu
Command.com /c: Eski Kabuk
Command.com /c %s -- "Command.com" = Windows 9x/NT komut kabuğu (cmd.exe değil!) -- Eski COMMAND.COM kullanımı = modern EDR'ları atlama girişimi -- cmd.exe yerine Command.com → bazı davranış analiz araçları gözden kaçırır -- /c = komutu çalıştır ve çık
Lokasyon Tespiti
Control Panel\Desktop\ResourceLocale -- Windows bölgesel ayarları registry anahtarı -- Amadey: kurbanın dil/ülke bilgisini okur -- CIS ülkeleri (Rusya, Ukrayna, Belarus) → enfeksiyon durdurulabilir
IOC
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| LOLBIN | rundll32.exe + InstallHinfSection |
Amadey — 恶意软件档案
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
恶意软件类型
Loader
编程语言
C
C2协议
HTTP
目标系统
Windows
能力与行为
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC列表 (1 个指标)
IOC — Amadey
# SHA256
920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2服务器 (该家族共有 1 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。