Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım Amadey

Amadey

GoldSparrow'de Kötü amaçlı yazılım'de
Çevir:

Amadey bilgisayar korsanlığı aracı, bilinmeyen kötü niyetli tehdit aktörleri tarafından geliştirilen ve çeşitli bilgisayar korsanlığı forumlarında satılan bir botnet oluşturucusudur. İlk olarak 2019'un başında ortaya çıktı. Bu tehdit, ana bilgisayara ek kötü amaçlı yazılım bulaştırabilen ilk aşama bir yük olarak da kullanılabilir. Başlangıçta, Amadey hackleme aracının maliyeti yaklaşık 500 dolardı. Kötü amaçlı yazılım araştırmacıları, Amadey aracının dünya çapında birçok farklı kampanyada kullanıldığını tespit ettiğinden, bu tehdit biraz ilgi gördü ve iyi sattı gibi görünüyor. Kötü şöhretli TA505 bilgisayar korsanlığı grubu bile Amadey tehdidini ele geçirdi.

Dağıtım Taktikleri

Amadey, öncelikle Windows tabanlı sistemleri hedefleyen bir kötü amaçlı yazılım türüdür. Tipik olarak bir hedef sisteme aşağıdakiler de dahil olmak üzere çeşitli yollarla girer:

  1. E-posta Ekleri : Amadey, virüs bulaşmış Microsoft Office belgeleri (örn. Word veya Excel dosyaları), PDF dosyaları veya ZIP arşivleri gibi kötü amaçlı ekler içeren spam e-postalar aracılığıyla dağıtılabilir. Alıcı eki açtığında, kötü amaçlı yazılım çalıştırılabilir.
  2. Kötü Amaçlı Web Siteleri : Amadey, güvenliği ihlal edilmiş veya kötü amaçlı web siteleri aracılığıyla iletilebilir. Bu, güvenliği ihlal edilmiş bir web sitesini ziyaret ettiğinizde veya kötü amaçlı bir bağlantıya tıkladığınızda, kötü amaçlı bir programın bilginiz dışında sisteminize yüklenmesiyle sonuçlanan bir indirme işlemini tetiklerse meydana gelebilir.
  3. İstismar Kitleri : İstismar kitleri, siber suçlular tarafından yazılımdaki güvenlik açıklarından yararlanmak için kullanılan araç takımlarıdır. Amadey, kötü amaçlı yazılımı hedef sisteme iletmek için yama uygulanmamış yazılım güvenlik açıklarından yararlanan bu şekilde dağıtılabilir.

Sessiz çalışır

Amadey operatörleri, virüslü sistemlere komut vermek için Web tarayıcıları aracılığıyla yönetici ayrıcalıkları ve uzaktan erişim elde edebilir. Ancak, tüm bunlar sessizce ve mağdur kullanıcının görüş alanı dışında gerçekleştirilir. Kurbanlar, kötü amaçlı yazılım bulaşmasının sistemlerini ele geçirdiğini ve bunun artık bir botnet'in parçası olduğunu fark etmeyebilirler.

sebat

Amadey botnet oluşturucu bir sisteme sızdığında, en yaygın kötü amaçlı yazılımdan koruma araçlarından herhangi birinin mevcut olup olmadığını kontrol edebilir. Amadey bilgisayar korsanlığı aracı, Windows Kayıt Defterini değiştirerek kalıcılık kazanabilir, böylece sistem her yeniden başlatıldığında tehdidin başlatılmasını sağlar.

Yetenekler

Bu bilgisayar korsanlığı aracı, biraz sınırlı bir yetenek listesine sahiptir. Amadey botnet oluşturucu, virüslü ana bilgisayar hakkında aşağıdakiler dahil bilgiler toplayabilir:

  • İşletim sistemi.
  • Kullanıcı adı.
  • Ağ Yapılandırması.
  • Donanım.

Potansiyel olarak DDoS (Dağıtılmış Hizmet Reddi) saldırılarını gerçekleştirmek için kullanılacak bir bilgisayarı ele geçirip bir botnet'e ekleyebilmenin yanı sıra, bu tehdit aynı zamanda birinci aşama bir yük olarak da kullanılabilir. saldırganların ana bilgisayara ek ve potansiyel olarak daha fazla tehdit edici kötü amaçlı yazılım bulaştırması için bir arka kapı görevi görür.

Hiçbirimiz bu gün ve çağda siber güvenliği göz ardı edemeyiz. Sisteminizi güvende tutacak yasal bir virüsten koruma yazılımı paketi indirip yüklediğinizden emin olun.

Amadey Botundan Nasıl Kaçınılır?

Amadey kötü amaçlı yazılımından ve benzer tehditlerden kaçınmaya yardımcı olmak için aşağıdaki önleyici tedbirleri uygulamayı düşünün:

  1. Yazılımı Güncel Tutun : İşletim sisteminizi, web tarayıcılarınızı ve diğer yazılım uygulamalarınızı düzenli olarak güncelleyin.
  2. E-posta Ekleri Konusunda Dikkatli Olun : Beklenmedik bir ek alırsanız, açmadan önce farklı bir iletişim kanalı aracılığıyla orijinalliğini gönderenle doğrulayın.
  3. Kimlik Avı Girişimlerine Karşı Dikkatli Olun : Şüpheli görünen veya güvenilir olmayan kaynaklardan gelen e-postalardaki veya iletilerdeki bağlantılara tıklamaktan kaçının.
  4. Güvenilir Güvenlik Yazılımı Kullanın : Sisteminize saygın antivirüs ürünleri ve kötü amaçlı yazılımdan koruma yazılımı yükleyin ve sisteminizi güncel tutun.
  5. Düzenli Veri Yedekleme : Önemli dosyalarınızın ve verilerinizin düzenli yedeklerini ayrı depolama aygıtlarında veya bulutta tutun. Bir kötü amaçlı yazılımın bulaşması veya başka olaylar olması durumunda, yakın tarihli yedeklemelere sahip olmak, verilerinizi geri yükleyebilmenizi ve olası hasarı en aza indirebilmenizi sağlar.
  6. Güvenli Tarama Alışkanlıkları Kullanın : Şüpheli veya güvenilmeyen web sitelerini ziyaret etmekten kaçının. Sizi kötü amaçlı yazılım dağıtan kötü amaçlı web sitelerine yönlendirebileceklerinden, reklamlara veya bağlantılara tıklarken dikkatli olun.

Analiz raporu

Genel bilgi

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Dosya boyutu: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

isim Değer
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Veri API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

İlgili Mesajlar

trend

CPanel Hesap Askıya Alma E-postası Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Siber suçlular, dolandırıcılıklarını inandırıcı göstermek için sıklıkla güvenilir teknik terimleri ve hizmetleri kötüye kullanırlar. cPanel Hesap Askıya Alma E-posta Dolandırıcılığı, alıcıları hızlı hareket etmeye zorlamak için endişe verici bir dil kullanan bu taktiğin açık bir örneğidir. Bu e-postalar tamamen sahtedir ve cPanel veya Microsoft Outlook dahil olmak üzere herhangi bir meşru...

En çok görüntülenen

Yükleniyor...