Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK

Arquivo Kimliği

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tamanho1.373.184 byte (1.3MB)
String Sayisi6.288

InstallHinfSection: LOLBIN INF Yürütme

LOLBIN: Meşru Windows aracı aracılığıyla kod yürütme!
rundll32.exe %s,InstallHinfSection %s 128 %s
-- "%s" = INF dosyası yolu (dinamik)
-- "InstallHinfSection" = INF kurulum bölümü çalıştır
-- "128" = bayrak: sessiz kurulum
-- "%s" = bölüm adı (örn: "DefaultInstall")
DefaultInstall
-- INF dosyası → registry değişikliği, dosya kopyalama, komut çalıştırma
-- LOLBIN: rundll32 meşru → AV imzasını tetiklemez
-- Amadey: .inf dosyası ile ek payload kurulumu

Command.com /c: Eski Kabuk

Command.com /c %s
-- "Command.com" = Windows 9x/NT komut kabuğu (cmd.exe değil!)
-- Eski COMMAND.COM kullanımı = modern EDR'ları atlama girişimi
-- cmd.exe yerine Command.com → bazı davranış analiz araçları gözden kaçırır
-- /c = komutu çalıştır ve çık

Lokasyon Tespiti

Control Panel\Desktop\ResourceLocale
-- Windows bölgesel ayarları registry anahtarı
-- Amadey: kurbanın dil/ülke bilgisini okur
-- CIS ülkeleri (Rusya, Ukrayna, Belarus) → enfeksiyon durdurulabilir

IOC

SHA256920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LOLBINrundll32.exe + InstallHinfSection

Amadey — Perfil do malware

Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.

Tipo de malware
Loader
Linguagem de programação
C
Protocolo C2
HTTP
Sistemas-alvo
Windows

Capacidades e comportamento

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Lista IOC (1 indicadores)

IOC — Amadey
# SHA256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TipoValorNota
sha256 920039788b3a16201373184b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

Servidores C2 (1 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
196.251.107.104 ip 80 HTTP active —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
amadeyrundll32-installhinfsection-lolbininf-file-executioncommand-com-c-old-shellresourcelocale-detectcreatemutex-adecryptfilea