Multi-License Discount Quote
Banta sa Database Malware Amadey

Amadey

Sa pamamagitan ng GoldSparrow sa Malware
Isalin To:

Ang tool sa pag-hack ng Amadey ay isang tagabuo ng botnet na binuo ng mga hindi kilalang may masamang pag-iisip na mga aktor ng pagbabanta at ibinebenta sa iba't ibang mga forum sa pag-hack. Una itong lumabas sa simula ng 2019. Magagamit din ang banta na ito bilang unang yugto ng payload na maaaring magpasok ng karagdagang malware sa host. Sa una, ang tool sa pag-hack ng Amadey ay nagkakahalaga ng humigit-kumulang $500. Ang banta na ito ay nakakuha ng ilang traksyon at mukhang mahusay na nabenta, dahil nakita ng mga mananaliksik ng malware ang tool na Amadey na ginagamit sa maraming iba't ibang mga kampanya sa buong mundo. Kahit na ang kilalang TA505 hacking group ay nakuha ang mga kamay nito sa banta ng Amadey.

Mga Taktika sa Pamamahagi

Ang Amadey ay isang uri ng malware na pangunahing nagta-target sa mga sistemang nakabatay sa Windows. Karaniwan itong pumapasok sa isang target na sistema sa pamamagitan ng iba't ibang paraan, kabilang ang:

  1. Mga Attachment ng Email : Maaaring ipamahagi ang Amadey sa pamamagitan ng mga spam na email na naglalaman ng mga nakakahamak na attachment, gaya ng mga nahawaang dokumento ng Microsoft Office (hal., Word o Excel file), PDF file, o ZIP archive. Sa sandaling mabuksan ng tatanggap ang attachment, maaaring i-execute ang malware.
  2. Mga Nakakahamak na Website : Maaaring maihatid ang Amadey sa pamamagitan ng nakompromiso o nakakahamak na mga website. Ito ay maaaring mangyari kung bibisita ka sa isang nakompromisong website o mag-click sa isang nakakahamak na link na nagti-trigger ng drive-by na pag-download, na nagreresulta sa isang nakakahamak na program na naka-install sa iyong system nang hindi mo nalalaman.
  3. Mga Exploit Kit : Ang mga Exploit kit ay mga toolkit na ginagamit ng mga cybercriminal upang pagsamantalahan ang mga kahinaan sa software. Maaaring ipamahagi nang ganoon ang Amadey, na sinasamantala ang hindi na-patch na mga kahinaan ng software upang maihatid ang malware sa target na system.

Tumatakbo nang Tahimik

Ang mga operator ng Amadey ay maaaring makakuha ng mga pribilehiyong pang-administratibo at malayuang pag-access sa pamamagitan ng kanilang Web browser upang utusan ang mga nahawaang sistema. Gayunpaman, ang lahat ng ito ay isinasagawa nang tahimik at hindi nakikita ng gumagamit ng biktima. Malamang na hindi man lang napagtanto ng mga biktima na na-hijack ng malware ang kanilang system at bahagi na ito ng botnet.

Pagtitiyaga

Kapag napasok na ng tagabuo ng botnet ng Amadey ang isang system, masusuri nito kung naroroon ang alinman sa mga pinakakaraniwang tool na anti-malware. Ang tool sa pag-hack ng Amadey ay nakakakuha ng pagpupursige sa pamamagitan ng pagbabago sa Windows Registry, kaya tinitiyak na ang pagbabanta ay ilulunsad sa tuwing ang system ay ire-reboot.

Mga kakayahan

Ang tool sa pag-hack na ito ay may medyo limitadong listahan ng mga kakayahan. Ang Amadey botnet builder ay maaaring mangalap ng impormasyon tungkol sa nahawaang host, kabilang ang:

  • Operating System.
  • Username.
  • Network Configuration.
  • Hardware.

Bukod sa kakayahang i-hijack ang isang computer at idagdag ito sa isang botnet, na gagamitin upang magsagawa ng mga pag-atake ng DDoS (Distributed-Denial-of-Service) na potensyal, ang banta na ito ay maaari ding gamitin bilang isang first-stage payload, na nagsisilbing backdoor para mahawa ng mga umaatake ang host ng karagdagang at potensyal na mas nagbabantang malware.

Walang sinuman sa atin ang kayang palampasin ang cybersecurity sa panahon ngayon. Tiyaking nagda-download at nag-i-install ka ng lehitimong antivirus software suite na magpapanatiling ligtas sa iyong system.

Paano Iwasan ang Amadey Bot

Upang makatulong na maiwasan ang Amadey malware at mga katulad na banta, isaalang-alang ang pagpapatupad ng mga sumusunod na hakbang sa pag-iwas:

  1. Panatilihing Updated ang Software : Regular na i-update ang iyong operating system, mga web browser, at iba pang software application.
  2. Mag-ingat sa Mga Attachment ng Email : Kung nakatanggap ka ng hindi inaasahang attachment, i-verify ang pagiging tunay nito sa nagpadala sa pamamagitan ng ibang channel ng komunikasyon bago ito buksan.
  3. Mag-ingat sa Mga Pagsubok sa Phishing : Iwasang mag-click sa mga link sa mga email o mensaheng mukhang kahina-hinala o nagmumula sa mga hindi mapagkakatiwalaang source.
  4. Gumamit ng Maaasahang Software ng Seguridad : Mag-install ng mga mapagkakatiwalaang produkto ng antivirus at software na anti-malware sa iyong system at panatilihin itong napapanahon.
  5. Regular na Pag-backup ng Data : Panatilihin ang mga regular na backup ng iyong mahahalagang file at data sa magkahiwalay na storage device o sa cloud. Sa kaso ng impeksyon sa malware o iba pang mga insidente, ang pagkakaroon ng mga kamakailang pag-backup ay nagsisiguro na maibabalik mo ang iyong data at mabawasan ang potensyal na pinsala.
  6. Mag-ehersisyo ng Ligtas na Pag-browse : Iwasan ang pagbisita sa mga kahina-hinala o hindi pinagkakatiwalaang mga website. Maging maingat kapag nagki-click sa mga advertisement o link, dahil maaari kang i-redirect ng mga ito sa mga nakakahamak na website na namamahagi ng malware.

Pagtatasa ng ulat

Pangkalahatang Impormasyon

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Laki ng File: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Pangalan Halaga
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Data API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

Mga Kaugnay na Mga Post

Trending

Pinaka Nanood

Naglo-load...