CobaltStrike 1X

显示全部楼层 · 发表于 2022-8-31 16:23:27

虚拟机双击，实体机ESET阻止僵尸网络

显示全部楼层 · 发表于 2022-8-31 16:35:40

本帖最后由 Tom179090 于 2022-8-31 16:38 编辑

BD双击后出现了新的通知以及没有检测名的拦截提示（文件未删除），虽然又出现了有检测名的拦截提示并删除文件。
Bitdefender detected potentially malicious behavior and blocked all applications involved.Detection ID: SuspiciousBehavior.F18F42B5CF063F6

显示全部楼层 · 发表于 2022-8-31 16:41:47

本帖最后由 GreatMOLA 于 2022-8-31 16:46 编辑

ESET

上传LiveGuard后立即云拉黑，LiveGrid已联动
log如下：

时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2022/8/31 16:39:10;ESET LiveGuard;文件;D:\edge download\CShell\CShell.exe;已删除;
2022/8/31 16:39:43;文件系统实时防护;文件;D:\edge download\CShell (2)\CShell.exe;Suspicious Object;已通过删除清除;

Avira 1

显示全部楼层 · 发表于 2022-8-31 17:22:13

谁在虚拟机里双击下看看实机里卡巴会有反应吗？

显示全部楼层 · 发表于 2022-8-31 17:22:43

本帖最后由断簪于 2022-8-31 17:24 编辑

过KIS扫描
fsp 卡了好一会

显示全部楼层 · 发表于 2022-8-31 17:47:46

腾管16，1x

显示全部楼层 · 发表于 2022-8-31 17:50:44

天融信扫描miss

显示全部楼层 · 发表于 2022-8-31 18:06:20

本帖最后由 anxiety520 于 2022-8-31 18:39 编辑

pal家族发表于 2022-8-31 17:22
谁在虚拟机里双击下看看实机里卡巴会有反应吗？

PDM:Trojan.Win32.Generic
MEM:Trojan.Win32.Cometer.gen
MEM:Trojan.Win64.Cobalt.gen
MEM:Trojan-Banker.Multi.Emotet.gen
实体机&虚拟机UMIDS无反应

显示全部楼层 · 发表于 2022-8-31 19:49:36

anxiety520 发表于 2022-8-31 18:06
PDM:Trojan.Win32.Generic
MEM:Trojan.Win32.Cometer.gen
MEM:Trojan.Win64.Cobalt.gen

虚拟机运行之后实机会报MEM的报法？真是奇葩

显示全部楼层 · 发表于 2022-8-31 19:56:42

pal家族发表于 2022-8-31 19:49
虚拟机运行之后实机会报MEM的报法？真是奇葩

都是虚拟机的，联网前就被检测到了

[病毒样本] CobaltStrike 1X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源