运控 x1 语言包（更新的真快）

显示全部楼层 · 发表于 2023-2-10 19:57:14

上链接：https://t.wss.ink/f/agy1gg06gzn 复制链接到浏览器打开

显示全部楼层 · 发表于 2023-2-10 20:00:44

本帖最后由 UNknownOoo 于 2023-2-10 21:53 编辑

智量
手动运行衍生物

没有定位到黑dll

相关衍生物：https://wwjw.lanzoum.com/iKQH00n6agyf

显示全部楼层 · 发表于 2023-2-10 20:04:31

显示全部楼层 · 发表于 2023-2-10 20:07:07

卡巴扫描不报，哪位勇士来双击？

显示全部楼层 · 发表于 2023-2-10 20:11:46

本帖最后由 dght432 于 2023-2-10 20:47 编辑

360扫描miss，虚拟机检测

显示全部楼层 · 发表于 2023-2-10 20:12:24

本帖最后由 anxiety520 于 2023-2-10 20:41 编辑

Picca 发表于 2023-2-10 20:07
卡巴扫描不报，哪位勇士来双击？

编辑

已上报

显示全部楼层 · 发表于 2023-2-10 20:27:52

本帖最后由隔山打空气于 2023-2-10 20:34 编辑

Deep Instinct
深度静态分析miss
动态执行检测到
DLL反射式加载行为，已被阻止
@anxiety520 麻烦看下那个位置有没有释放的衍生物，谢谢

显示全部楼层 · 发表于 2023-2-10 20:37:18

显示全部楼层 · 发表于 2023-2-10 20:42:35

本帖最后由 anxiety520 于 2023-2-10 20:52 编辑

隔山打空气发表于 2023-2-10 20:27
Deep Instinct
深度静态分析miss
动态执行检测到

现在看到相关进程了，见下图
tip

Suspicious activities
Status Severity Description
Low
290 The process $Image_path has set the attribute "Hidden" to the file $Target_path (MITRE: T1564.001 Hidden Files and Directories).
Low
290 The process $Image_path has created a job $Job_path in Windows Scheduler (MITRE: T1053.005 Scheduled Task).
Low
290 The program $Image_path is trying to modify the task scheduler cache in order to launch applications hiddenly (MITRE: T1053.005 Scheduled Task).
Low
290 The process $Image_path has set the attribute "Hidden" to the file $Target_path (MITRE: T1564.001 Hidden Files and Directories).
Low
290 The process $Image_path has attempted to detect a virtual environment (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).
Low
100 The process $Image_path has modified the time attributes of the file $Target_file (MITRE: T1070.006 Indicator Removal on Host: Timestomp)
Low
100 The process $Image_path has modified the time attributes of the file $Target_file (MITRE: T1070.006 Indicator Removal on Host: Timestomp)

复制代码

显示全部楼层 · 发表于 2023-2-10 20:45:41

dght432 发表于 2023-2-10 20:11
360扫描miss

样本反虚拟机的，有条件的丢实体机里运行

[病毒样本] 运控 x1 语言包（更新的真快）