微步沙箱: 检测到CobaltStrike JA3指纹

显示全部楼层 · 发表于 2022-6-15 21:28:04

本帖最后由 00006666 于 2022-6-15 22:49 编辑

微步沙箱: 检测到CobaltStrike JA3指纹

https://t.wss.ink/f/8kgbm3iey1j 密码: 36697371

https://s.threatbook.cn/report/file/cd5473cfa539f63cfa8d4ee280e5558ac9a6606b8b029a6781819444319714fe

显示全部楼层 · 发表于 2022-6-15 21:31:57

诺顿机学杀！

显示全部楼层 · 发表于 2022-6-15 21:32:27

编辑（（（（（（

显示全部楼层 · 发表于 2022-6-15 21:59:19

毒霸1x
360云miss

显示全部楼层 · 发表于 2022-6-15 22:34:15

McAfee kill

显示全部楼层 · 发表于 2022-6-15 22:35:53

WIBD:HEUR.PEObfuscator.C
MEMRAY:MalCode.B01（未能稳定触发，怀疑存在云控）

游戏过程中会检测虚拟机。

显示全部楼层 · 发表于 2022-6-15 22:49:40

本帖最后由 00006666 于 2022-6-15 22:50 编辑

swizzer 发表于 2022-6-15 22:35
WIBD:HEUR.PEObfuscator.C
MEMRAY:MalCode.B01（未能稳定触发，怀疑存在云控）

感觉里面塞了个修改版的CobaltStrike，不过我不确定是哪个文件。

微步报的JA3指纹一般不会是误报

显示全部楼层 · 发表于 2022-6-15 22:56:49

00006666 发表于 2022-6-15 22:49
感觉里面塞了个修改版的CobaltStrike，不过我不确定是哪个文件。

微步报的JA3指纹一般不会是误 ...

本来看到触发智量内存防护我还挺庆幸；结果去智量文件夹下面一看，没有相应的dump生成，扑了个空···

后来接着几次双击也没再触发成功内存检测

显示全部楼层 · 发表于 2022-6-15 23:02:39

swizzer 发表于 2022-6-15 22:56
本来看到触发智量内存防护我还挺庆幸；结果去智量文件夹下面一看，没有相应的dump生成，扑了个空· ...

不过讲真木马作者用这个游戏来伪装CobaltStrike其实很完美，联网之类的行为就会被掩盖掉，游戏本身就要联网，而且这类游戏本身就有一些行为很像木马。

显示全部楼层 · 发表于 2022-6-15 23:04:00

本帖最后由 lvseqiji 于 2022-6-15 23:15 编辑

卡巴Miss有点意外了，连老乡DrWeb都能杀了，卡巴竟然还miss
扔给opentip了

[病毒样本] 微步沙箱: 检测到CobaltStrike JA3指纹