أمادي
أداة Amadey للقرصنة هي منشئ الروبوتات التي تم تطويرها من قبل جهات تهديد غير معروفة سيئة العقلية وبيعت في مختلف منتديات القرصنة. ظهر لأول مرة في بداية عام 2019. ويمكن أيضًا استخدام هذا التهديد كحمولة للمرحلة الأولى يمكنها تقديم برامج ضارة إضافية إلى المضيف. في البداية ، كلفت أداة القرصنة Amadey حوالي 500 دولار. اكتسب هذا التهديد بعض الزخم ويبدو أنه بيع جيدًا ، حيث اكتشف باحثو البرامج الضارة أداة Amadey المستخدمة في العديد من الحملات المختلفة في جميع أنحاء العالم. حتى مجموعة القرصنة TA505 سيئة السمعة وضعت يدها على تهديد Amadey.
جدول المحتويات
تكتيكات التوزيع
Amadey هو نوع من البرامج الضارة التي تستهدف بشكل أساسي الأنظمة المستندة إلى Windows. عادة ما يدخل إلى نظام مستهدف من خلال وسائل مختلفة ، بما في ذلك:
- مرفقات البريد الإلكتروني : قد يتم توزيع Amadey من خلال رسائل البريد الإلكتروني العشوائية التي تحتوي على مرفقات ضارة ، مثل مستندات Microsoft Office المصابة (مثل ملفات Word أو Excel) أو ملفات PDF أو أرشيفات ZIP. بمجرد أن يفتح المستلم المرفق ، يمكن تنفيذ البرنامج الضار.
- مواقع الويب الضارة : يمكن تسليم Amadey من خلال مواقع الويب المخترقة أو الضارة. قد يحدث هذا إذا قمت بزيارة موقع ويب تم اختراقه أو قمت بالنقر فوق ارتباط ضار يؤدي إلى تنزيل محرك الأقراص ، مما يؤدي إلى تثبيت برنامج ضار على نظامك دون علمك.
- مجموعات الاستغلال : مجموعات الاستغلال هي مجموعات أدوات يستخدمها مجرمو الإنترنت لاستغلال الثغرات الأمنية في البرامج. قد يتم توزيع Amadey على هذا النحو ، والذي يستفيد من ثغرات البرامج غير المصححة لتسليم البرامج الضارة إلى النظام المستهدف.
تعمل بصمت
يمكن لمشغلي Amadey الحصول على امتيازات إدارية والوصول عن بعد عبر متصفح الويب الخاص بهم للتحكم في الأنظمة المصابة. ومع ذلك ، يتم تنفيذ كل هذا بصمت وبعيدًا عن أنظار المستخدم الضحية. من المحتمل أن الضحايا قد لا يدركون حتى أن الإصابة بالبرامج الضارة قد اخترقت نظامهم وأنه أصبح الآن جزءًا من شبكة الروبوتات.
إصرار
بمجرد أن يتسلل Amadey botnet builder إلى النظام ، يمكنه التحقق من وجود أي من أدوات مكافحة البرامج الضارة الأكثر شيوعًا. أداة القرصنة Amadey قادرة على اكتساب الثبات من خلال تعديل سجل Windows ، وبالتالي ضمان إطلاق التهديد في كل مرة يتم فيها إعادة تشغيل النظام.
قدرات
تحتوي أداة القرصنة هذه على قائمة محدودة إلى حد ما من القدرات. يمكن لمنشئ شبكة الروبوتات Amadey جمع معلومات حول المضيف المصاب ، بما في ذلك:
- نظام التشغيل.
- اسم المستخدم.
- تكوين شبكة.
- المعدات.
بصرف النظر عن القدرة على اختطاف جهاز كمبيوتر وإضافته إلى الروبوتات ، والتي يمكن استخدامها لتنفيذ هجمات DDoS (رفض الخدمة الموزعة) المحتملة ، يمكن أيضًا استخدام هذا التهديد كحمولة في المرحلة الأولى ، والتي سوف بمثابة باب خلفي للمهاجمين لإصابة المضيف ببرامج ضارة إضافية وربما أكثر تهديدًا.
لا أحد منا يستطيع التغاضي عن الأمن السيبراني في هذا اليوم وهذا العصر. تأكد من تنزيل وتثبيت مجموعة برامج مكافحة فيروسات شرعية تحافظ على أمان نظامك.
كيفية تجنب أمادي بوت
للمساعدة في تجنب برامج Amadey الضارة والتهديدات المماثلة ، ضع في اعتبارك تنفيذ التدابير الوقائية التالية:
- حافظ على تحديث البرامج : قم بتحديث نظام التشغيل ومتصفحات الويب وتطبيقات البرامج الأخرى بانتظام.
- توخي الحذر مع مرفقات البريد الإلكتروني : إذا تلقيت مرفقًا غير متوقع ، فتأكد من صحته مع المرسل من خلال قناة اتصال مختلفة قبل فتحه.
- كن حذرًا من محاولات التصيد الاحتيالي : تجنب النقر فوق الروابط في رسائل البريد الإلكتروني أو الرسائل التي تبدو مشبوهة أو تأتي من مصادر غير جديرة بالثقة.
- استخدم برامج أمان موثوقة : قم بتثبيت منتجات مكافحة الفيروسات ذات السمعة الطيبة وبرامج مكافحة البرامج الضارة على نظامك وتحديثها باستمرار.
- نسخ احتياطي منتظم للبيانات : احتفظ بنسخ احتياطية منتظمة لملفاتك وبياناتك المهمة على أجهزة تخزين منفصلة أو في السحابة. في حالة الإصابة ببرامج ضارة أو حوادث أخرى ، فإن وجود نسخ احتياطية حديثة يضمن لك إمكانية استعادة بياناتك وتقليل الضرر المحتمل.
- ممارسة عادات التصفح الآمن : تجنب زيارة مواقع الويب المشبوهة أو غير الموثوق بها. كن حذرًا عند النقر فوق الإعلانات أو الروابط ، لأنها قد تعيد توجيهك إلى مواقع ويب ضارة توزع برامج ضارة.
تقرير التحليل
معلومات عامة
| Family Name: | Trojan.Amadey |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
4f7dd64dab6c5a47dc113589ed95f131
SHA1:
f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256:
B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
حجم الملف:
849.41 KB, 849408 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| اسم | قيمة |
|---|---|
| Company Name | Microsoft Corporation |
| File Description | Win32 Cabinet Self-Extractor |
| File Version | 11.00.17763.1 (WinBuild.160101.0800) |
| Internal Name | Wextract |
| Legal Copyright | © Microsoft Corporation. All rights reserved. |
| Original Filename | WEXTRACT.EXE .MUI |
| Product Name | Internet Explorer |
| Product Version | 11.00.17763.1 |
File Traits
- No Version Info
- WriteProcessMemory
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\gmdasllogger | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe | Generic Write,Read Attributes |
Show More
| c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | بيانات | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| Syscall Use |
Show More
|
| User Data Access |
|
| Service Control |
|
| Other Suspicious |
|
| Anti Debug |
|
| Encryption Used |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
|
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe
|
