Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Taille | 1.373.184 byte (1.3MB) |
| String Sayisi | 6.288 |
InstallHinfSection: LOLBIN INF Yürütme
LOLBIN: Meşru Windows aracı aracılığıyla kod yürütme!
rundll32.exe %s,InstallHinfSection %s 128 %s -- "%s" = INF dosyası yolu (dinamik) -- "InstallHinfSection" = INF kurulum bölümü çalıştır -- "128" = bayrak: sessiz kurulum -- "%s" = bölüm adı (örn: "DefaultInstall") DefaultInstall -- INF dosyası → registry değişikliği, dosya kopyalama, komut çalıştırma -- LOLBIN: rundll32 meşru → AV imzasını tetiklemez -- Amadey: .inf dosyası ile ek payload kurulumu
Command.com /c: Eski Kabuk
Command.com /c %s -- "Command.com" = Windows 9x/NT komut kabuğu (cmd.exe değil!) -- Eski COMMAND.COM kullanımı = modern EDR'ları atlama girişimi -- cmd.exe yerine Command.com → bazı davranış analiz araçları gözden kaçırır -- /c = komutu çalıştır ve çık
Lokasyon Tespiti
Control Panel\Desktop\ResourceLocale -- Windows bölgesel ayarları registry anahtarı -- Amadey: kurbanın dil/ülke bilgisini okur -- CIS ülkeleri (Rusya, Ukrayna, Belarus) → enfeksiyon durdurulabilir
IOC
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| LOLBIN | rundll32.exe + InstallHinfSection |
Amadey — Profil du malware
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Type de malware
Loader
Langage de programmation
C
Protocole C2
HTTP
Systèmes ciblés
Windows
Capacités et comportement
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Liste IOC (1 indicateurs)
IOC — Amadey
# SHA256
920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Valeur | Note |
|---|---|---|
| sha256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
Serveurs C2 (1 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.