Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK

Dosya Kimliği

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut1.373.184 byte (1.3MB)
String Sayisi6.288

InstallHinfSection: LOLBIN INF Yürütme

LOLBIN: Meşru Windows aracı aracılığıyla kod yürütme!
rundll32.exe %s,InstallHinfSection %s 128 %s
-- "%s" = INF dosyası yolu (dinamik)
-- "InstallHinfSection" = INF kurulum bölümü çalıştır
-- "128" = bayrak: sessiz kurulum
-- "%s" = bölüm adı (örn: "DefaultInstall")
DefaultInstall
-- INF dosyası → registry değişikliği, dosya kopyalama, komut çalıştırma
-- LOLBIN: rundll32 meşru → AV imzasını tetiklemez
-- Amadey: .inf dosyası ile ek payload kurulumu

Command.com /c: Eski Kabuk

Command.com /c %s
-- "Command.com" = Windows 9x/NT komut kabuğu (cmd.exe değil!)
-- Eski COMMAND.COM kullanımı = modern EDR'ları atlama girişimi
-- cmd.exe yerine Command.com → bazı davranış analiz araçları gözden kaçırır
-- /c = komutu çalıştır ve çık

Lokasyon Tespiti

Control Panel\Desktop\ResourceLocale
-- Windows bölgesel ayarları registry anahtarı
-- Amadey: kurbanın dil/ülke bilgisini okur
-- CIS ülkeleri (Rusya, Ukrayna, Belarus) → enfeksiyon durdurulabilir

IOC

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LOLBINrundll32.exe + InstallHinfSection

Amadey — Malware Profili

Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.

Malware Tipi
Loader
Programlama Dili
C
C2 Protokolü
HTTP
Hedef Sistemler
Windows

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — Amadey
# SHA256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TürDeğerNot
sha256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
196.251.107.104 ip 80 HTTP active —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
amadeyrundll32-installhinfsection-lolbininf-file-executioncommand-com-c-old-shellresourcelocale-detectcreatemutex-adecryptfilea