Rabattilbud med flere licenser
Trusseldatabase Malware Amadey

Amadey

Med GoldSparrow i Malware
Oversæt til:

Amadey hacking værktøj er en botnet builder udviklet af ukendte dårligt sinde trussel aktører og solgt på forskellige hacking fora. Den dukkede først op i starten af 2019. Denne trussel kan også bruges som en første-trins nyttelast, der kan introducere yderligere malware til værten. Oprindeligt kostede Amadey-hackerværktøjet cirka 500 $. Denne trussel fik en vis indpas og ser ud til at have solgt godt, da malware-forskere har opdaget, at Amadey-værktøjet bliver brugt i mange forskellige kampagner verden over. Selv den berygtede TA505-hackergruppe fik fingrene i Amadey-truslen.

Distributionstaktik

Amadey er en type malware, der primært er rettet mod Windows-baserede systemer. Det kommer typisk ind i et målsystem på forskellige måder, herunder:

  1. E-mail-vedhæftede filer : Amadey kan distribueres gennem spam-e-mails, der indeholder ondsindede vedhæftede filer, såsom inficerede Microsoft Office-dokumenter (f.eks. Word- eller Excel-filer), PDF-filer eller ZIP-arkiver. Når modtageren åbner den vedhæftede fil, kan malwaren udføres.
  2. Ondsindede websteder : Amadey kan leveres gennem kompromitterede eller ondsindede websteder. Dette kan forekomme, hvis du besøger et kompromitteret websted eller klikker på et ondsindet link, der udløser en drive-by-download, hvilket resulterer i, at et ondsindet program installeres på dit system uden din viden.
  3. Udnyttelsessæt : Udnyttelsessæt er værktøjssæt, der bruges af cyberkriminelle til at udnytte sårbarheder i software. Amadey kan distribueres på den måde, som udnytter upatchede softwaresårbarheder til at levere malwaren til målsystemet.

Fungerer lydløst

Amadey-operatører kan få administrative rettigheder og fjernadgang via deres webbrowser for at styre de inficerede systemer. Alt dette udføres dog lydløst og ude af syne for den forurettede bruger. Det er sandsynligt, at ofrene måske ikke engang indser, at en malwareinfektion har kapret deres system, og at det nu er en del af et botnet.

Udholdenhed

Når først Amadey botnet-byggeren infiltrerer et system, kan den kontrollere, om nogle af de mest almindelige anti-malware-værktøjer er til stede. Amadey hacking-værktøjet er i stand til at blive ved med at ændre Windows-registreringsdatabasen og dermed sikre, at truslen vil blive lanceret, hver gang systemet genstartes.

Evner

Dette hackingværktøj har en noget begrænset liste over muligheder. Amadey botnet builder kan indsamle oplysninger om den inficerede vært, herunder:

  • Operativ system.
  • Brugernavn.
  • Netværkskonfiguration.
  • Hardware.

Udover at være i stand til at kapre en computer og tilføje den til et botnet, som potentielt ville blive brugt til at udføre DDoS (Distributed-Denial-of-Service)-angreb, kan denne trussel også bruges som en første-trins nyttelast, som vil tjene som en bagdør for angriberne til at inficere værten med yderligere og potentielt mere truende malware.

Ingen af os har råd til at overse cybersikkerhed i denne tid. Sørg for at downloade og installere en lovlig antivirussoftwarepakke, der holder dit system sikkert.

Sådan undgår du Amadey Bot

For at hjælpe med at undgå Amadey-malwaren og lignende trusler skal du overveje at implementere følgende forebyggende foranstaltninger:

  1. Hold software opdateret : Opdater regelmæssigt dit operativsystem, webbrowsere og andre softwareapplikationer.
  2. Udvis forsigtighed med e-mailvedhæftede filer : Hvis du modtager en uventet vedhæftet fil, skal du bekræfte dens ægthed med afsenderen via en anden kommunikationskanal, før du åbner den.
  3. Vær på vagt over for phishing-forsøg : Undgå at klikke på links i e-mails eller meddelelser, der virker mistænkelige eller kommer fra utroværdige kilder.
  4. Brug pålidelig sikkerhedssoftware : Installer velrenommerede antivirusprodukter og anti-malware-software på dit system, og hold det opdateret.
  5. Regelmæssig datasikkerhedskopiering : Oprethold regelmæssige sikkerhedskopier af dine vigtige filer og data på separate lagerenheder eller i skyen. I tilfælde af en malwareinfektion eller andre hændelser sikrer det at have nylige sikkerhedskopier, at du kan gendanne dine data og minimere potentielle skader.
  6. Udøv sikker browsing-vaner : Undgå at besøge mistænkelige eller upålidelige websteder. Vær forsigtig, når du klikker på annoncer eller links, da de kan omdirigere dig til ondsindede websteder, der distribuerer malware.

Analyserapport

Generel information

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Filstørrelse: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Navn Værdi
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Data API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

Relaterede indlæg

Trending

Mest sete

Indlæser...