Manuel Statik Analiz (LLM Okumali) — Amadey Loader | Tehdit: YUKSEK
Datei Kimligi
| SHA256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
|---|---|
| Dil | C (native PE32) |
| Größe | 40.960 byte |
Amadey Loader Hakkinda
Amadey, 2018'den beri underground forumlarda MaaS olarak satilan bir C tabanlı loaderdir. Kucuk boyutu (genellikle 40-80KB) ve moduler yapisiyla ozellikle dikkat ceker. Cikan ornekte binary agir paketlenmis; HTTP C2 gate adresi runtime'da decrypt edilmektedir.
Amadey Yetenekleri
| Yetenek | Detay |
|---|---|
| HTTP Gate C2 | POST /index.php — bilgi gonderimi ve komut alma |
| Sistem Bilgisi | OS, CPU, RAM, kullanici adi, dil toplama |
| Plugin Yukleme | Ek credential stealer pluginleri indirebilir |
| Payload Drop | Ek malware aileleri indirir (RedLine, Vidar, LummaC2) |
| Screenshot | Ekran goruntusu alabilir |
| Persistence | Registry Run Key, Task Scheduler |
| Antianaliz | VM/sandbox tespiti |
Amadey ile Yaygın Yüklenen Familieler
Amadey genellikle asagidaki stealerlari ikinci stage payload olarak yukler: RedLine, Vidar, LummaC2, Raccoon, StealC
IOC
| SHA256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
|---|---|
| C2 | HTTP/HTTPS gate (sifrelenmis, dinamik analiz gerekli) |
| Endpoint | /index.php (tipik Amadey gate) |
Amadey — Malware-Profil
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Malware-Typ
Loader
Programmiersprache
C
C2-Protokoll
HTTP
Zielsysteme
Windows
Fähigkeiten & Verhalten
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC-Liste (1 Indikatoren)
IOC — Amadey
# SHA256
d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
C2-Server (1 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.