Manuel Statik Analiz — Amadey Stealer/Loader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 1.373.184 byte (1.4MB) |
| String Sayisi | 7.093 |
Gömülü PEM Private Key
Kriptografi Tespiti: RSA private key binary içinde!
-----BEGIN PRIVATE KEY----- [... RSA private key data ...] -----END PRIVATE KEY----- -- RSA private key binary'ye HARDCODE edilmiş! -- Amadey C2 iletişim şifrelemesi için RSA kullanıyor -- Private key → C2'den gelen şifreli payload decode edilir -- Server public key ile şifreler → client private key ile açar -- Forensic değer: bu key ile yakalanan C2 trafiği decode edilebilir!
C2 Config Substring Referansları
Ex$c2 -- "c2" config token d!C2$ -- C2 endpoint marker c25a& -- "c2" + "5a" XOR byte? Xx|C2; -- pipe separator + C2 eJXc2 -- "c2" suffix -- Amadey C2 URL/config şifrelenmiş ama "c2" substring'leri dışarı sızıyor -- Polimorfik: her örnekte farklı prefix/suffix ama "c2" sabit
IOC
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Kriptografi | BEGIN PRIVATE KEY (RSA, hardcoded) |
Amadey5 — Malware Profile
Amadey MaaS loader/stealer. PEM private key gomulu RSA sifreli C2. c2 substring referanslari. Multi-stage.
Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — Amadey5
# SHA256
920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |