Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK

ファイル Kimliği

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
サイズ1.373.184 byte (1.3MB)
String Sayisi6.288

InstallHinfSection: LOLBIN INF Yürütme

LOLBIN: Meşru Windows aracı aracılığıyla kod yürütme!
rundll32.exe %s,InstallHinfSection %s 128 %s
-- "%s" = INF dosyası yolu (dinamik)
-- "InstallHinfSection" = INF kurulum bölümü çalıştır
-- "128" = bayrak: sessiz kurulum
-- "%s" = bölüm adı (örn: "DefaultInstall")
DefaultInstall
-- INF dosyası → registry değişikliği, dosya kopyalama, komut çalıştırma
-- LOLBIN: rundll32 meşru → AV imzasını tetiklemez
-- Amadey: .inf dosyası ile ek payload kurulumu

Command.com /c: Eski Kabuk

Command.com /c %s
-- "Command.com" = Windows 9x/NT komut kabuğu (cmd.exe değil!)
-- Eski COMMAND.COM kullanımı = modern EDR'ları atlama girişimi
-- cmd.exe yerine Command.com → bazı davranış analiz araçları gözden kaçırır
-- /c = komutu çalıştır ve çık

Lokasyon Tespiti

Control Panel\Desktop\ResourceLocale
-- Windows bölgesel ayarları registry anahtarı
-- Amadey: kurbanın dil/ülke bilgisini okur
-- CIS ülkeleri (Rusya, Ukrayna, Belarus) → enfeksiyon durdurulabilir

IOC

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LOLBINrundll32.exe + InstallHinfSection

Amadey — マルウェアプロファイル

Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.

マルウェアの種類
Loader
プログラミング言語
C
C2プロトコル
HTTP
標的システム
Windows

機能と挙動

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOCリスト (1 件の指標)

IOC — Amadey
# SHA256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
タイプメモ
sha256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2サーバー (このファミリーで1台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
196.251.107.104 ip 80 HTTP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
amadeyrundll32-installhinfsection-lolbininf-file-executioncommand-com-c-old-shellresourcelocale-detectcreatemutex-adecryptfilea