Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Boyut | 1.373.184 byte (1.3MB) |
| String Sayisi | 6.288 |
InstallHinfSection: LOLBIN INF Yürütme
LOLBIN: Meşru Windows aracı aracılığıyla kod yürütme!
rundll32.exe %s,InstallHinfSection %s 128 %s -- "%s" = INF dosyası yolu (dinamik) -- "InstallHinfSection" = INF kurulum bölümü çalıştır -- "128" = bayrak: sessiz kurulum -- "%s" = bölüm adı (örn: "DefaultInstall") DefaultInstall -- INF dosyası → registry değişikliği, dosya kopyalama, komut çalıştırma -- LOLBIN: rundll32 meşru → AV imzasını tetiklemez -- Amadey: .inf dosyası ile ek payload kurulumu
Command.com /c: Eski Kabuk
Command.com /c %s -- "Command.com" = Windows 9x/NT komut kabuğu (cmd.exe değil!) -- Eski COMMAND.COM kullanımı = modern EDR'ları atlama girişimi -- cmd.exe yerine Command.com → bazı davranış analiz araçları gözden kaçırır -- /c = komutu çalıştır ve çık
Lokasyon Tespiti
Control Panel\Desktop\ResourceLocale -- Windows bölgesel ayarları registry anahtarı -- Amadey: kurbanın dil/ülke bilgisini okur -- CIS ülkeleri (Rusya, Ukrayna, Belarus) → enfeksiyon durdurulabilir
IOC
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| LOLBIN | rundll32.exe + InstallHinfSection |
Amadey — Malware Profili
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Malware Tipi
Loader
Programlama Dili
C
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Yetenekler ve Davranış
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC Listesi (1 gösterge)
IOC — Amadey
# SHA256
920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Tür | Değer | Not |
|---|---|---|
| sha256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.