Manuel Statik Analiz (LLM Okumali) — Amadey Loader | Tehdit: YUKSEK
Dosya Kimligi
| SHA256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
|---|---|
| Dil | C (native PE32) |
| Boyut | 40.960 byte |
Amadey Loader Hakkinda
Amadey, 2018'den beri underground forumlarda MaaS olarak satilan bir C tabanlı loaderdir. Kucuk boyutu (genellikle 40-80KB) ve moduler yapisiyla ozellikle dikkat ceker. Cikan ornekte binary agir paketlenmis; HTTP C2 gate adresi runtime'da decrypt edilmektedir.
Amadey Yetenekleri
| Yetenek | Detay |
|---|---|
| HTTP Gate C2 | POST /index.php — bilgi gonderimi ve komut alma |
| Sistem Bilgisi | OS, CPU, RAM, kullanici adi, dil toplama |
| Plugin Yukleme | Ek credential stealer pluginleri indirebilir |
| Payload Drop | Ek malware aileleri indirir (RedLine, Vidar, LummaC2) |
| Screenshot | Ekran goruntusu alabilir |
| Persistence | Registry Run Key, Task Scheduler |
| Antianaliz | VM/sandbox tespiti |
Amadey ile Yaygın Yüklenen Aileler
Amadey genellikle asagidaki stealerlari ikinci stage payload olarak yukler: RedLine, Vidar, LummaC2, Raccoon, StealC
IOC
| SHA256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
|---|---|
| C2 | HTTP/HTTPS gate (sifrelenmis, dinamik analiz gerekli) |
| Endpoint | /index.php (tipik Amadey gate) |
Amadey — Malware Profile
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — Amadey
# SHA256
d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
| Type | Value | Note |
|---|---|---|
| sha256 | d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.