Manuel Statik Analiz (LLM Okumali) — Amadey Loader | Tehdit: YUKSEK
Fichier Kimligi
| SHA256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
|---|---|
| Dil | C (native PE32) |
| Taille | 40.960 byte |
Amadey Loader Hakkinda
Amadey, 2018'den beri underground forumlarda MaaS olarak satilan bir C tabanlı loaderdir. Kucuk boyutu (genellikle 40-80KB) ve moduler yapisiyla ozellikle dikkat ceker. Cikan ornekte binary agir paketlenmis; HTTP C2 gate adresi runtime'da decrypt edilmektedir.
Amadey Yetenekleri
| Yetenek | Detay |
|---|---|
| HTTP Gate C2 | POST /index.php — bilgi gonderimi ve komut alma |
| Sistem Bilgisi | OS, CPU, RAM, kullanici adi, dil toplama |
| Plugin Yukleme | Ek credential stealer pluginleri indirebilir |
| Payload Drop | Ek malware aileleri indirir (RedLine, Vidar, LummaC2) |
| Screenshot | Ekran goruntusu alabilir |
| Persistence | Registry Run Key, Task Scheduler |
| Antianaliz | VM/sandbox tespiti |
Amadey ile Yaygın Yüklenen Familleler
Amadey genellikle asagidaki stealerlari ikinci stage payload olarak yukler: RedLine, Vidar, LummaC2, Raccoon, StealC
IOC
| SHA256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
|---|---|
| C2 | HTTP/HTTPS gate (sifrelenmis, dinamik analiz gerekli) |
| Endpoint | /index.php (tipik Amadey gate) |
Amadey — Profil du malware
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Type de malware
Loader
Langage de programmation
C
Protocole C2
HTTP
Systèmes ciblés
Windows
Capacités et comportement
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Liste IOC (1 indicateurs)
IOC — Amadey
# SHA256
d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
| Type | Valeur | Note |
|---|---|---|
| sha256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
Serveurs C2 (1 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.