Manuel Statik Analiz — Amadey Stealer/Loader | Tehdit: YUKSEK
ファイル Kimliği
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| サイズ | 1.373.184 byte (1.4MB) |
| String Sayisi | 7.093 |
Gömülü PEM Private Key
Kriptografi Tespiti: RSA private key binary içinde!
-----BEGIN PRIVATE KEY----- [... RSA private key data ...] -----END PRIVATE KEY----- -- RSA private key binary'ye HARDCODE edilmiş! -- Amadey C2 iletişim şifrelemesi için RSA kullanıyor -- Private key → C2'den gelen şifreli payload decode edilir -- Server public key ile şifreler → client private key ile açar -- Forensic değer: bu key ile yakalanan C2 trafiği decode edilebilir!
C2 Config Substring Referansları
Ex$c2 -- "c2" config token d!C2$ -- C2 endpoint marker c25a& -- "c2" + "5a" XOR byte? Xx|C2; -- pipe separator + C2 eJXc2 -- "c2" suffix -- Amadey C2 URL/config şifrelenmiş ama "c2" substring'leri dışarı sızıyor -- Polimorfik: her örnekte farklı prefix/suffix ama "c2" sabit
IOC
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Kriptografi | BEGIN PRIVATE KEY (RSA, hardcoded) |
Amadey5 — マルウェアプロファイル
Amadey MaaS loader/stealer. PEM private key gomulu RSA sifreli C2. c2 substring referanslari. Multi-stage.
マルウェアの種類
Loader
プログラミング言語
C++
C2プロトコル
HTTPS
標的システム
Küresel
機能と挙動
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOCリスト (1 件の指標)
IOC — Amadey5
# SHA256
920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |