Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK
ファイル Kimliği
| SHA256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
|---|---|
| サイズ | 424.960 byte |
| String Sayisi | 1.955 |
RC2 Şifreli C2 Konfigürasyonu
UYHpaLVt70vXFurc2i== -- RC2 şifreli C2 base64 config ("rc2i" = RC2 ipucu)
Kc2AO79p8EXmasVPiZGhDjr97CEu4MR9fCnl -- Şifreli C2 parametresi
Bitcoin Cüzdan
13PRRAgr5cVmfZP3O8Vt7kXmavTggpSl13V -- Amadey affiliate BTC cüzdan
Amadey Hakkında
Amadey, 2018'den beri aktif C++ tabanlı bir loader ailesidir. Plugin sistemi ile bilgi hırsızlığı modülleri indirip çalıştırır. RedLine, Vidar, LummaC2 gibi stealerlar için ilk erişim aracı olarak kullanılır. Underground forumlarda satılmakta ve büyük botnet kampanyalarında yer almaktadır.
IOC
| SHA256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
|---|---|
| BTC Cüzdan | 13PRRAgr5cVmfZP3O8Vt7kXmavTggpSl13V |
| Kalıcılık | RegSetValueExA |
Amadey — マルウェアプロファイル
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
マルウェアの種類
Loader
プログラミング言語
C
C2プロトコル
HTTP
標的システム
Windows
機能と挙動
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOCリスト (1 件の指標)
IOC — Amadey
# SHA256
c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
C2サーバー (このファミリーで1台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。