Manuel Statik Analiz — Amadey Stealer/Loader | Tehdit: YUKSEK

Dosya Kimliği

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut1.373.184 byte (1.4MB)
String Sayisi7.093

Gömülü PEM Private Key

Kriptografi Tespiti: RSA private key binary içinde!
-----BEGIN PRIVATE KEY-----
[... RSA private key data ...]
-----END PRIVATE KEY-----
-- RSA private key binary'ye HARDCODE edilmiş!
-- Amadey C2 iletişim şifrelemesi için RSA kullanıyor
-- Private key → C2'den gelen şifreli payload decode edilir
-- Server public key ile şifreler → client private key ile açar
-- Forensic değer: bu key ile yakalanan C2 trafiği decode edilebilir!

C2 Config Substring Referansları

Ex$c2   -- "c2" config token
d!C2$   -- C2 endpoint marker
c25a&   -- "c2" + "5a" XOR byte?
Xx|C2;  -- pipe separator + C2
eJXc2   -- "c2" suffix
-- Amadey C2 URL/config şifrelenmiş ama "c2" substring'leri dışarı sızıyor
-- Polimorfik: her örnekte farklı prefix/suffix ama "c2" sabit

IOC

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
KriptografiBEGIN PRIVATE KEY (RSA, hardcoded)

Amadey5 — Malware Profile

Amadey MaaS loader/stealer. PEM private key gomulu RSA sifreli C2. c2 substring referanslari. Multi-stage.

Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — Amadey5
# SHA256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
amadeypem-private-key-embeddedbegin-private-keyc2-substring-ex-c2d-c2-c25a-xxc2rsa-c2-encryptionamadey-stealer