BAZARLOADER INFECTION WITH COBALT STRIKE (2022-02-04) (34X)

救命稻草

00006666

ANY.LNK 发表于 2022-2-5 16:03
我这边历史记录里有报告hta威胁，所以不知道到底修没修（之前见到将间的内容全部删除或换上空格的）

可以看一下修改时间，或者改扩展名TXT对比一下内容应该可以看出来。

ANY.LNK

00006666 发表于 2022-2-5 16:06
可以看一下修改时间，或者改扩展名TXT对比一下内容应该可以看出来。

MD修复不改时间戳，不过看了下文件内容，应该是没有修过的

白崎桑

卡巴余22个.hta文件

swizzer

MES
exe全部RealProtect-PENG4!_________
hta全部阻止调用powershell并将powershell识别为JTI/Suspect.393538

sichuanwenxuan

WD扫描不报。双击7个exe文件全杀。

wwwab

白崎桑 发表于 2022-2-5 16:12
卡巴余22个.hta文件

卡巴斯基 已上报

wwwab

卡巴斯基：

Hello,

New malicious software ware found in the attached files.
Trojan.Win64.Kryplod:
    6e715a2c8df146542fbe0825990e946f
    1042d74d50f37dcfc34b1adac3d470a8
    dec809f67134e2b63a4c63870a119155
    ce6b018c2dd55628d4f856d8d1690bf8
    762f386c1c737a29f874f3e00fac0bed
    866deb2e13ebd8e128eefcbefe9bd5f8
    8f2d55e07eb7628aff69e119d9efe352
    6fd067c2995adb1eff95b4d74cba4e30
    b95c69bd409d46476f4e54bee3684136
    37950dae0c7b6130c79c5fd7bc2689ac

UDS:Trojan.VBS.Agent.a:
ab062bcba28e79e3aaeff2874e4a4b0b
55ec4a0958786e22405597435ac7dfc0
e06938848350e770dcdb5a4efc6b1b4b
3b6dffc492ed92c569eb2fd320705dd5
b84cf7a80624d8115bc4bd62e212165d
40dcc495b59e131312c54a3ad74af797
57fca9edfe2c83eae7dfaf1dcd41c1a9
ab4af989694bf12314ac05781aff38d2
4d9ddccf50933ff7263dadd2725db416
4339205c1d4b622f75a06065be424840
f4754b05d427e7ac760582b208dd021c
712e391c031eb58a3935d75a1a52a93b
9b14f8f6211647d7417dbee97bdb6048
9a012a5767b4ab96d3a10ae338c290e6
76a37f136ba4e83aca939ba3f6cbb1b8
e410f01503e74e25942679300b3a53bd
b1585062bbaf0dfa1f39c7254b550b0e
496a512ca87827a35cbfbe10968d8a0a
676df9b905c25128e408cebb7461d9b6
02cca69c5a60fd50a8b8b08c2ad2eb27
231c0b6ea96491fcd3a92d6a91f0d1ab
3f3e21f765b6f326a7a0048e4d7e142f
74c930bb031cec461ca61af5a7e6d6d7
46b0428cf99b8f509344fad20ed207f5

Its detection will be included in the next update.
Thank you for your help.

vaedzy

00006666 发表于 2022-2-5 14:56
ESET的扫描确实挺强的诶，那几个EXE样本很少有检出的。

高级启发扫描器 不开玩笑的

dongwenqi

wwwab 发表于 2022-2-5 17:56
卡巴斯基：

卡巴入库分析还是蛮快的