Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Amadey

Amadey

Menjelang GoldSparrow pada perisian hasad
Terjemahkan ke

Alat penggodaman Amadey ialah pembina botnet yang dibangunkan oleh pelakon ancaman jahat yang tidak diketahui dan dijual di pelbagai forum penggodaman. Ia pertama kali muncul pada permulaan 2019. Ancaman ini juga boleh digunakan sebagai muatan peringkat pertama yang boleh memperkenalkan perisian hasad tambahan kepada hos. Pada mulanya, alat penggodaman Amadey berharga $500 lebih kurang. Ancaman ini mendapat sedikit daya tarikan dan nampaknya telah dijual dengan baik, kerana penyelidik perisian hasad telah melihat alat Amadey digunakan dalam pelbagai kempen di seluruh dunia. Malah kumpulan penggodaman TA505 yang terkenal mendapat ancaman Amadey.

Taktik Pengedaran

Amadey ialah sejenis perisian hasad yang menyasarkan sistem berasaskan Windows. Ia biasanya memasuki sistem sasaran melalui pelbagai cara, termasuk:

  1. Lampiran E-mel : Amadey boleh diedarkan melalui e-mel spam yang mengandungi lampiran berniat jahat, seperti dokumen Microsoft Office yang dijangkiti (cth, fail Word atau Excel), fail PDF atau arkib ZIP. Sebaik sahaja penerima membuka lampiran, perisian hasad boleh dilaksanakan.
  2. Laman Web Berniat Hasad : Amadey boleh dihantar melalui tapak web yang terjejas atau berniat jahat. Ini boleh berlaku jika anda melawati tapak web yang terjejas atau mengklik pada pautan berniat jahat yang mencetuskan muat turun pandu demi, menyebabkan program berniat jahat dipasang pada sistem anda tanpa pengetahuan anda.
  3. Kit Eksploit : Kit eksploitasi ialah kit alat yang digunakan oleh penjenayah siber untuk mengeksploitasi kelemahan dalam perisian. Amadey mungkin diedarkan seperti itu, yang mengambil kesempatan daripada kelemahan perisian yang tidak ditambal untuk menghantar perisian hasad ke sistem sasaran.

Beroperasi Dengan Senyap

Pengendali Amadey boleh mendapat keistimewaan pentadbiran dan akses jauh melalui pelayar Web mereka untuk mengarahkan sistem yang dijangkiti. Bagaimanapun, semua ini dilakukan secara senyap dan tidak dapat dilihat oleh pengguna mangsa. Kemungkinan mangsa mungkin tidak menyedari bahawa jangkitan perisian hasad telah merampas sistem mereka dan ia kini menjadi sebahagian daripada botnet.

Kegigihan

Sebaik sahaja pembina botnet Amadey menyusup ke dalam sistem, ia boleh menyemak sama ada mana-mana alat anti-perisian hasad yang paling biasa ada. Alat penggodaman Amadey dapat memperoleh kegigihan dengan mengubah suai Windows Registry, dengan itu memastikan ancaman akan dilancarkan setiap kali sistem dibut semula.

Kemampuan

Alat penggodaman ini mempunyai senarai keupayaan yang agak terhad. Pembina botnet Amadey boleh mengumpulkan maklumat tentang hos yang dijangkiti, termasuk:

  • Sistem operasi.
  • Nama pengguna.
  • Konfigurasi Rangkaian.
  • Perkakasan.

Selain daripada dapat merampas komputer dan menambahkannya ke botnet, yang akan digunakan untuk menjalankan serangan DDoS (Distributed-Denial-of-Service) secara berpotensi, ancaman ini juga boleh digunakan sebagai muatan peringkat pertama, yang akan berfungsi sebagai pintu belakang untuk penyerang menjangkiti hos dengan perisian hasad tambahan dan berpotensi lebih mengancam.

Tiada seorang pun daripada kita mampu mengabaikan keselamatan siber pada zaman ini. Pastikan anda memuat turun dan memasang suite perisian antivirus yang sah yang akan memastikan sistem anda selamat.

Bagaimana untuk Mengelakkan Bot Amadey

Untuk membantu mengelakkan perisian hasad Amadey dan ancaman serupa, pertimbangkan untuk melaksanakan langkah pencegahan berikut:

  1. Pastikan Perisian Kemas Kini : Kemas kini sistem pengendalian anda, penyemak imbas web dan aplikasi perisian lain secara kerap.
  2. Berhati-hati dengan Lampiran E-mel : Jika anda menerima lampiran yang tidak dijangka, sahkan kesahihannya dengan pengirim melalui saluran komunikasi yang berbeza sebelum membukanya.
  3. Berhati-hati dengan Percubaan Phishing : Elakkan mengklik pautan dalam e-mel atau mesej yang kelihatan mencurigakan atau datang daripada sumber yang tidak boleh dipercayai.
  4. Gunakan Perisian Keselamatan Boleh Dipercayai : Pasang produk antivirus dan perisian anti-malware yang bereputasi pada sistem anda dan pastikan ia dikemas kini.
  5. Sandaran Data Biasa : Kekalkan sandaran tetap fail dan data penting anda pada peranti storan berasingan atau dalam awan. Sekiranya berlaku jangkitan perisian hasad atau insiden lain, mempunyai sandaran terkini memastikan anda boleh memulihkan data anda dan meminimumkan kemungkinan kerosakan.
  6. Amalkan Tabiat Semak Imbas Selamat : Elakkan melawati tapak web yang mencurigakan atau tidak dipercayai. Berhati-hati apabila mengklik iklan atau pautan, kerana ia mungkin mengubah hala anda ke tapak web berniat jahat yang mengedarkan perisian hasad.

Laporan Analisis

Maklumat am

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Saiz fail: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

nama Nilai
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Data API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

Catatan Berkaitan

Trending

Paling banyak dilihat

Memuatkan...