HANCITOR INFECTION WITH COBALT STRIKE

显示全部楼层 · 发表于 2022-2-2 13:47:37

00006666 发表于 2022-2-2 13:44
见过berp.doc可还行

虚拟机里某一文档下载的一个文件就叫berp.doc，昨晚刚见到，有印象

显示全部楼层 · 发表于 2022-2-2 15:20:31

McAfee 1x

显示全部楼层 · 发表于 2022-2-2 17:13:21

呵呵大神001 发表于 2022-2-2 12:09
BEST扫描剩余bat
bat双击edr阻止

bat的作用是调用moexx.bin，单独运行这个BAT其实没有恶意行为，EDR也会拦截

显示全部楼层 · 发表于 2022-2-2 17:30:58

Avast 9x

显示全部楼层 · 发表于 2022-2-2 18:08:06

00006666 发表于 2022-2-2 17:13
bat的作用是调用moexx.bin，单独运行这个BAT其实没有恶意行为，EDR也会拦截

有外联和横向移动我这里跑出来

显示全部楼层 · 发表于 2022-2-2 18:36:08

MS Defender：解压清空

显示全部楼层 · 发表于 2022-2-2 19:55:35

趋势科技

Trojan.W97M.HANCITOR.YXCBAZ x9

Trojan.Win32.HANCITOR.YXCBBZ x1

显示全部楼层 · 发表于 2022-2-2 21:07:22

火绒扫描miss

显示全部楼层 · 发表于 2022-2-2 21:16:35

呵呵大神001 发表于 2022-2-2 18:08
有外联和横向移动我这里跑出来

那个确实挺奇怪的，因为那个BAT命令是ping localhost和rundll32.exe moexx.bin

显示全部楼层 · 发表于 2022-2-2 22:26:32

00006666 发表于 2022-2-2 21:16
那个确实挺奇怪的，因为那个BAT命令是ping localhost和rundll32.exe moexx.bin

确实

[病毒样本] HANCITOR INFECTION WITH COBALT STRIKE