Manuel Statik Analiz (LLM Okumali) — Amadey Loader | Tehdit: YUKSEK

파일 Kimligi

SHA256d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
DilC (native PE32)
크기40.960 byte

Amadey Loader Hakkinda

Amadey, 2018'den beri underground forumlarda MaaS olarak satilan bir C tabanlı loaderdir. Kucuk boyutu (genellikle 40-80KB) ve moduler yapisiyla ozellikle dikkat ceker. Cikan ornekte binary agir paketlenmis; HTTP C2 gate adresi runtime'da decrypt edilmektedir.

Amadey Yetenekleri

YetenekDetay
HTTP Gate C2POST /index.php — bilgi gonderimi ve komut alma
Sistem BilgisiOS, CPU, RAM, kullanici adi, dil toplama
Plugin YuklemeEk credential stealer pluginleri indirebilir
Payload DropEk malware aileleri indirir (RedLine, Vidar, LummaC2)
ScreenshotEkran goruntusu alabilir
PersistenceRegistry Run Key, Task Scheduler
AntianalizVM/sandbox tespiti

Amadey ile Yaygın Yüklenen 패밀리ler

Amadey genellikle asagidaki stealerlari ikinci stage payload olarak yukler: RedLine, Vidar, LummaC2, Raccoon, StealC

IOC

SHA256d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
C2HTTP/HTTPS gate (sifrelenmis, dinamik analiz gerekli)
Endpoint/index.php (tipik Amadey gate)

Amadey — 악성코드 프로필

Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.

악성코드 유형
Loader
프로그래밍 언어
C
C2 프로토콜
HTTP
대상 시스템
Windows

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (1 개 지표)

IOC — Amadey
# SHA256 d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
유형메모
sha256 d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a

C2 서버 (이 패밀리에 대해 1개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
196.251.107.104 ip 80 HTTP active —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
amadeyloadermaashttp-c2payload-dropperplugin-sistem