Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Boyut | 1.373.184 byte (1.3MB) |
| String Sayisi | 6.288 |
InstallHinfSection: LOLBIN INF Yürütme
LOLBIN: Meşru Windows aracı aracılığıyla kod yürütme!
rundll32.exe %s,InstallHinfSection %s 128 %s -- "%s" = INF dosyası yolu (dinamik) -- "InstallHinfSection" = INF kurulum bölümü çalıştır -- "128" = bayrak: sessiz kurulum -- "%s" = bölüm adı (örn: "DefaultInstall") DefaultInstall -- INF dosyası → registry değişikliği, dosya kopyalama, komut çalıştırma -- LOLBIN: rundll32 meşru → AV imzasını tetiklemez -- Amadey: .inf dosyası ile ek payload kurulumu
Command.com /c: Eski Kabuk
Command.com /c %s -- "Command.com" = Windows 9x/NT komut kabuğu (cmd.exe değil!) -- Eski COMMAND.COM kullanımı = modern EDR'ları atlama girişimi -- cmd.exe yerine Command.com → bazı davranış analiz araçları gözden kaçırır -- /c = komutu çalıştır ve çık
Lokasyon Tespiti
Control Panel\Desktop\ResourceLocale -- Windows bölgesel ayarları registry anahtarı -- Amadey: kurbanın dil/ülke bilgisini okur -- CIS ülkeleri (Rusya, Ukrayna, Belarus) → enfeksiyon durdurulabilir
IOC
| SHA256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| LOLBIN | rundll32.exe + InstallHinfSection |
Amadey — Malware Profile
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — Amadey
# SHA256
920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.