#DllHijacking #CobaltStrike

swizzer

https://funami.lanzoub.com/iPE3O152i0yb

亮点自寻

1. 高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Users\Public\Videos\McAfee.exe. 威胁名称: Gen:Trojan.Beacon.Shellcode.Marte.1.
   
2. 高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Users\苏敬轩\Desktop\CozyDuke\McAfeeManager.exe. 威胁名称: Gen:Trojan.Beacon.Shellcode.Marte.1.
   
3. 高级威胁防护阻止了一个恶意进程。进程路径: C:\Users\苏敬轩\Desktop\CozyDuke\McAfeeManager.exe. 威胁名称: ATC.SuspiciousBehavior.5735C3223857BB2D.

复制代码

心醉咖啡

360

117054487

卡巴 PDM miss
安全浏览阻止访问:hxxps://101.43.1.44:843/dpixel
内存扫:
MEM:Trojan.Win64.Cobalt.gen
MEM:Trojan.Multi.Cobalt.gen
MEM:Backdoor.Win32.Cobalt.mem

上报回复
CopyFile.dll_ - Trojan.Win64.Agent.qwimdc
McVsoCfg.dll_ - Trojan.Win64.Agent.qwimde
msctfmig.dll_ - Trojan.Win64.Agent.qwimdf
MSS.dll_      - Trojan.Win64.Agent.qwimdg
MSSQ.dll_     - Trojan.Win64.Agent.qwimdh
msvcp140.dll_ - Trojan.Win64.Agent.qwimdi
msvcr100.dll_ - Trojan.Win64.Agent.qwimdj


没什么用的话：把白exe的签名或者哈希改变，PDM才会报

GreatMOLA

Norton
msvcr100.dll - Heur.AdvML.A，执行失败。

Picca

117054487 发表于 2023-8-11 17:53
卡巴 PDM miss
安全浏览阻止访问:hxxps://101.43.1.44:843/dpixel
内存扫:

不知道不主动扫描，这些CobaltStrike能跑多久。

会不会出现泄露信息后，病毒才被卡巴杀掉的情况

kaspersky与火绒

BD免费版 主防kill

xjwtzq

BD 扫描miss 双击 阻止 McAfeeManager.exe

anxiety520

Picca 发表于 2023-8-11 18:14
不知道不主动扫描，这些CobaltStrike能跑多久。

会不会出现泄露信息后，病毒才被卡巴杀掉的情况

把后台扫描开着就行，大概一天会扫一两次这样子

Picca

anxiety520 发表于 2023-8-11 18:30
把后台扫描开着就行，大概一天会扫一两次这样子

就是说啊，我怕东西都泄露完了，后台才扫到

哎，不对，后台扫描不是对抗rootkit的吗，对内存病毒也有用吗？

对抗这种远控stealer，貌似也是IDS/IPS的管辖范围，虽然我从没见过卡巴的IDS发威。。。

anxiety520

Picca 发表于 2023-8-11 18:34
就是说啊，我怕东西都泄露完了，后台才扫到

哎，不对，后台扫描不是对抗rootkit的吗，对内存病 ...

后台扫一样会扫内存，感觉就是一次快扫+扫描rootkit通常藏匿的位置。

IPS的确可以管，但是要设规则，而且为了减少误报最好还要改成手动挡，例如像这种的