Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK

파일 Kimliği

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
크기1.373.184 byte (1.3MB)
String Sayisi6.288

InstallHinfSection: LOLBIN INF Yürütme

LOLBIN: Meşru Windows aracı aracılığıyla kod yürütme!
rundll32.exe %s,InstallHinfSection %s 128 %s
-- "%s" = INF dosyası yolu (dinamik)
-- "InstallHinfSection" = INF kurulum bölümü çalıştır
-- "128" = bayrak: sessiz kurulum
-- "%s" = bölüm adı (örn: "DefaultInstall")
DefaultInstall
-- INF dosyası → registry değişikliği, dosya kopyalama, komut çalıştırma
-- LOLBIN: rundll32 meşru → AV imzasını tetiklemez
-- Amadey: .inf dosyası ile ek payload kurulumu

Command.com /c: Eski Kabuk

Command.com /c %s
-- "Command.com" = Windows 9x/NT komut kabuğu (cmd.exe değil!)
-- Eski COMMAND.COM kullanımı = modern EDR'ları atlama girişimi
-- cmd.exe yerine Command.com → bazı davranış analiz araçları gözden kaçırır
-- /c = komutu çalıştır ve çık

Lokasyon Tespiti

Control Panel\Desktop\ResourceLocale
-- Windows bölgesel ayarları registry anahtarı
-- Amadey: kurbanın dil/ülke bilgisini okur
-- CIS ülkeleri (Rusya, Ukrayna, Belarus) → enfeksiyon durdurulabilir

IOC

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LOLBINrundll32.exe + InstallHinfSection

Amadey — 악성코드 프로필

Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.

악성코드 유형
Loader
프로그래밍 언어
C
C2 프로토콜
HTTP
대상 시스템
Windows

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (1 개 지표)

IOC — Amadey
# SHA256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
유형메모
sha256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2 서버 (이 패밀리에 대해 1개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
196.251.107.104 ip 80 HTTP active —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
amadeyrundll32-installhinfsection-lolbininf-file-executioncommand-com-c-old-shellresourcelocale-detectcreatemutex-adecryptfilea