打假“火绒企业版终端”

显示全部楼层 · 发表于 2023-8-9 20:05:30

微步上假的火绒企业版终端https://s.threatbook.com/report/ ... ba3e3de459cf478153e
https://cowtransfer.com/s/0633557749f749
火绒官人不来瞅瞅？

显示全部楼层 · 发表于 2023-8-9 20:06:54

看过了，压缩包有密码

显示全部楼层 · 发表于 2023-8-9 20:11:51

ESET WinGo/Rozena.QN

密码是huorong

显示全部楼层 · 发表于 2023-8-9 20:18:10

本帖最后由 anxiety520 于 2023-8-9 20:21 编辑

KIS 3种报法
PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic
PDM:Exploit.Win32.Generic.nblk

显示全部楼层 · 发表于 2023-8-9 20:31:04

火绒
扫描：MISS

双击：MISS

显示全部楼层 · 发表于 2023-8-9 20:32:30

好的，这边移交工程师确认一下。

显示全部楼层 · 发表于 2023-8-9 20:44:50

实时防护在进程C:\Users\苏敬轩\Desktop\huorong\火绒企业版终端\Huorong.exe的内存中检测到威胁Gen:DeepScan:Generic.Cobaltstrike.Marte.B.77BD4D38。进程被结束，可执行文件已被删除。

显示全部楼层 · 发表于 2023-8-9 20:44:58

WD双击：Trojan:Win32/Wacatac.H!ml

显示全部楼层 · 发表于 2023-8-9 20:45:34

C2：https://cdn.windowsappupdate.com/jquery-3.3.1.min.js
套了Cloudflare CDN
全网扫了一遍，基本确定源站IP为 8.218.158.107 （阿里云香港）
已经向阿里云提交投诉

CobaltStrike Watermark为100000000
由此可判断此人使用的CobaltStrike为破解版

此CS监听器设置的心跳时间极长，可能是为了躲避CC之类的自动行为分析
（但是静态特征处理的太烂了，直接被云沙箱看光光）

最后来点让我不爽的：S1 MISS

显示全部楼层 · 发表于 2023-8-9 21:20:30

[病毒样本] 打假“火绒企业版终端”

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源