Manuel Statik Analiz (LLM Okumali) — Amadey Loader | Tehdit: YUKSEK

ファイル Kimligi

SHA256d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
DilC (native PE32)
サイズ40.960 byte

Amadey Loader Hakkinda

Amadey, 2018'den beri underground forumlarda MaaS olarak satilan bir C tabanlı loaderdir. Kucuk boyutu (genellikle 40-80KB) ve moduler yapisiyla ozellikle dikkat ceker. Cikan ornekte binary agir paketlenmis; HTTP C2 gate adresi runtime'da decrypt edilmektedir.

Amadey Yetenekleri

YetenekDetay
HTTP Gate C2POST /index.php — bilgi gonderimi ve komut alma
Sistem BilgisiOS, CPU, RAM, kullanici adi, dil toplama
Plugin YuklemeEk credential stealer pluginleri indirebilir
Payload DropEk malware aileleri indirir (RedLine, Vidar, LummaC2)
ScreenshotEkran goruntusu alabilir
PersistenceRegistry Run Key, Task Scheduler
AntianalizVM/sandbox tespiti

Amadey ile Yaygın Yüklenen ファミリーler

Amadey genellikle asagidaki stealerlari ikinci stage payload olarak yukler: RedLine, Vidar, LummaC2, Raccoon, StealC

IOC

SHA256d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
C2HTTP/HTTPS gate (sifrelenmis, dinamik analiz gerekli)
Endpoint/index.php (tipik Amadey gate)

Amadey — マルウェアプロファイル

Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.

マルウェアの種類
Loader
プログラミング言語
C
C2プロトコル
HTTP
標的システム
Windows

機能と挙動

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOCリスト (1 件の指標)

IOC — Amadey
# SHA256 d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
タイプメモ
sha256 d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a

C2サーバー (このファミリーで1台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
196.251.107.104 ip 80 HTTP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
amadeyloadermaashttp-c2payload-dropperplugin-sistem