龟包 231120 17X

神龟Turmi

15号样本是一个黑客帮我分的Lumma，我也不知道对不对
当时整理样本的时候不小心点开了一个，然后想着虚拟机里啥都没有就没管它，然后整理到16号，我本地的malpedia yara同时报告它是lumma和agenttesla，正在纠结并且传triage寻求进一步确定的时候不小心点开的那个样本的黑客给我弹了个窗。。。

好好好 你说是那就是。。。

下载：https://share.weiyun.com/s1QIYSIn
海外分流：https://k00.fr/guibao1120 | password: turtle

江民：

扫描9X 未双击 合计9/17

hhjjjjjj123

360杀16

GreatMOLA

Deep Instinct all*
*注：解压后杀了15个，剩下2个执行后由D-Brain击杀。



Check Point 静态剩2



双击16号，数千文件被加密，触发Check Point勒索缓解模式。截至目前，仍处于分析状态，我将会持续更新缓解进度。



双击17号，实机SEP拦截外联。





关闭实机SEP后执行，成功建立连接。






更新：

虚拟机硬盘容量已被回滚耗尽，最后成功回滚了2000+文件。控制台生成了勒索事件，但未生成处置报告，同时Agent仍处于勒索缓解的分析状态。





更新：

由于虚拟机磁盘容量有限，在剩余容量被Check Point的勒索缓解消耗殆尽的情况下，成功回滚2000+文件。本次勒索缓解触发之原因为命中诱饵。

秋日之殇

卡巴剩余231120-10-MsfvenomPYI-5c2640.exe,不过执行后连接的是内网地址192.168.204.132

神龟Turmi

秋日之殇 发表于 2023-11-20 11:26
卡巴剩余231120-10-MsfvenomPYI-5c2640.exe,不过执行后连接的是内网地址192.168.204.132

理论上来说这种连内网的才是CS正确使用方法（逃

zfc234

ZANG清空

LovelyTim

奇安信，kill 15x

1. Backdoor.Win32.Bladabindi.H，231120-11-NJRat-137f17.exe
   
2. Backdoor.Win32.FBHZQ.A，231120-05-Lokibot-ab816a.exe
   
3. Backdoor.Win32.FBHZQ.A，231120-04-AgentTesla-a49f66.exe
   
4. Backdoor.Win32.FBHZQ.A，231120-08-Lokibot-055ab5.exe
   
5. Backdoor.MPE.CobaltStrike.AE，231120-03-CobaltStrike-12c3ae.exe
   
6. Backdoor.MPE.TurtleLoader.A，231120-10-MsfvenomPYI-5c2640.exe
   
7. Trojan.Win.Agent.b676d1cf，231120-07-Remcos-998b24.exe
   
8. QDE.V2.3.ECC3CETM4.71，231120-06-Remcos-b167c8.exe
   
9. QDE.V2.3.ECC3CETMN.IL，231120-12-CobaltStrikePYI-29c3ff.exe
   
10. QDE.V2.3.SOO6OTN7P.F1，231120-14-RisePro-d56b4d.exe
    
11. QDE.V2.3.7661O7ESH.JH，231120-17-Unknown-812f52.exe
    
12. QDE.V2.3.SOO6OTN7P.F1，231120-13-RisePro-469a43.exe
    
13. QDE.V2.3.36QOQRAKW3.GT，231120-02-AgentTesla-45d360.exe
    
14. Backdoor.Python.CobaltStrike.4a84，231120-01-CobaltStrikePYI-642615.exe
    
15. Trojan.Python.ShellLoader.4a84，231120-09-MsfvenomPYI-de7426.exe

复制代码

hhhq316

蜘蛛 5/17
实时 4

双击 阻断 1


EMSI 13/19
实时 9

双击 4

UNknownOoo

火绒
扫描：11X

1. 扫描文件：17
   
2. 发现风险：11
   
3. 已处理风险：0
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-11-NJRat-137f17.exe, 病毒名：Backdoor/Bladabindi.e, 病毒ID：b9ee43a9c2556cba, 处理结果：暂不处理
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-08-Lokibot-055ab5.exe, 病毒名：Trojan/MSIL.Agent.dj, 病毒ID：c5c57cb4688e2ddd, 处理结果：暂不处理
   
7. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-05-Lokibot-ab816a.exe, 病毒名：HEUR:VirTool/MSIL.Obfuscator.gen!A, 病毒ID：3fda44dcb57a42be, 处理结果：暂不处理
   
8. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-03-CobaltStrike-12c3ae.exe, 病毒名：Backdoor/W64.Meterpreter.b, 病毒ID：039db99588a1e0ee, 处理结果：暂不处理
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-04-AgentTesla-a49f66.exe, 病毒名：HEUR:VirTool/MSIL.Obfuscator.gen!A, 病毒ID：3fda44dcb57a42be, 处理结果：暂不处理
   
10. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-14-RisePro-d56b4d.exe, 病毒名：HEUR:TrojanDownloader/Agent.bf, 病毒ID：7bec03d7fe2662cb, 处理结果：暂不处理
    
11. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-13-RisePro-469a43.exe, 病毒名：HEUR:TrojanDownloader/Agent.bf, 病毒ID：7bec03d7fe2662cb, 处理结果：暂不处理
    
12. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-15-Lumma-a3fd59.exe, 病毒名：HEUR:VirTool/DelfObfuscator.gen!A, 病毒ID：368ed5d1d148137e, 处理结果：暂不处理
    
13. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-09-MsfvenomPYI-de7426.exe, 病毒名：HEUR:Trojan/Python.ShellLoader.c, 病毒ID：ee86e351ef255014, 处理结果：暂不处理
    
14. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-01-CobaltStrikePYI-642615.exe, 病毒名：Backdoor/Python.CobaltStrike.c, 病毒ID：02faa3644e0194ce, 处理结果：暂不处理
    
15. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-10-MsfvenomPYI-5c2640.exe, 病毒名：Backdoor/Meterpreter.an, 病毒ID：7f025ed75cb76303, 处理结果：暂不处理
    

复制代码

X-Sec
扫描：16X

1. ---------------------
   
2. 2023/11/20 11:55:56 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-02-AgentTesla-45d360.exe -- [xave-cloud] Spyware.Generic
   
3. 2023/11/20 11:55:56 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-01-CobaltStrikePYI-642615.exe -- [xave-cloud] Backdoor.Generic
   
4. 2023/11/20 11:55:57 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-04-AgentTesla-a49f66.exe -- [xave-cloud] Spyware.Generic
   
5. 2023/11/20 11:55:57 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-03-CobaltStrike-12c3ae.exe -- [xave-cloud] Backdoor.Generic
   
6. 2023/11/20 11:55:58 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-06-Remcos-b167c8.exe -- [xave-cloud] Backdoor.Generic
   
7. 2023/11/20 11:55:58 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-05-Lokibot-ab816a.exe -- [xave-cloud] Stealer.Generic
   
8. 2023/11/20 11:55:58 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-08-Lokibot-055ab5.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.80
   
9. 2023/11/20 11:56:00 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-07-Remcos-998b24.exe -- [rame-cloud] Backdoor.Remcos!8.B89E
   
10. 2023/11/20 11:56:00 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-10-MsfvenomPYI-5c2640.exe -- [rame-classic] Trojan.ShellCodeRunner/PYC!1.ECE5
    
11. 2023/11/20 11:56:00 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-09-MsfvenomPYI-de7426.exe -- [rame-cloud] Trojan.Rozena!8.6D
    
12. 2023/11/20 11:56:01 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-11-NJRat-137f17.exe -- [xave-cloud] Backdoor.Generic
    
13. 2023/11/20 11:56:01 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-14-RisePro-d56b4d.exe -- [rame-classic] Downloader.Agent!1.D93C
    
14. 2023/11/20 11:56:01 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-13-RisePro-469a43.exe -- [rame-classic] Downloader.Agent!1.D93C
    
15. 2023/11/20 11:56:01 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-12-CobaltStrikePYI-29c3ff.exe -- [rame-cloud] Trojan.Generic!8.C3
    
16. 2023/11/20 11:56:02 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-16-Mansabo-9ac8f3.exe -- [xave-cloud] Trojan.Generic
    
17. 2023/11/20 11:56:09 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-17-Unknown-812f52.exe -- [xave-cloud] Stealer.Generic

复制代码

奇安信扫描器
扫描：15X

1. Backdoor.Win32.Bladabindi.H        本地引擎        23d0d53fbc7b0c2c1abdd0d7f1704732        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-11-NJRat-137f17.exe
   
2. Backdoor.Win32.FBHZQ.A        本地引擎        ebc512302855c4b3f18a3d712e870e2c        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-05-Lokibot-ab816a.exe
   
3. Backdoor.Win32.FBHZQ.A        本地引擎        e4f117b234804840f57dd57c090bbdfb        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-08-Lokibot-055ab5.exe
   
4. Backdoor.Win32.FBHZQ.A        本地引擎        ebf89d3836ad1f5c25511751d2428901        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-04-AgentTesla-a49f66.exe
   
5. Backdoor.MPE.CobaltStrike.AE        本地引擎        fe76135cbc97d3735081a3e21574b112        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-03-CobaltStrike-12c3ae.exe
   
6. Backdoor.MPE.TurtleLoader.A        本地引擎        949b8efdf377d957868f034db95d1260        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-10-MsfvenomPYI-5c2640.exe
   
7. QDE.V2.3.ECC3CETMN.IL        云引擎        68660539901aabaeaf073a2f3444a535        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-12-CobaltStrikePYI-29c3ff.exe
   
8. Trojan.Python.ShellLoader.4a84        云引擎        a883b7ae7875e2772b0b2a0fd66c2418        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-09-MsfvenomPYI-de7426.exe
   
9. Backdoor.Python.CobaltStrike.4a84        云引擎        c94915aac80a1e54688c52f6e0cc4517        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-01-CobaltStrikePYI-642615.exe
   
10. QDE.V2.3.ECC3CETM4.71        云引擎        c9e26277dece15561ac1f9dae3701100        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-06-Remcos-b167c8.exe
    
11. Trojan.Win.Agent.b676d1cf        云引擎        ca136954ac61b48748d20917d53cbcf8        清理成功        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-07-Remcos-998b24.exe
    
12. QDE.V2.3.SOO6OTN7P.F1        AI引擎        379bd46d79cf086a4de78cf9ae985563        未清理        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-14-RisePro-d56b4d.exe
    
13. QDE.V2.3.7661O7ESH.JH        AI引擎        c18e988ccbc2b4c43f089107d3794256        未清理        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-17-Unknown-812f52.exe
    
14. QDE.V2.3.SOO6OTN7P.F1        AI引擎        485bdcda1c045fb86d8cee9018da73f4        未清理        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-13-RisePro-469a43.exe
    
15. QDE.V2.3.36QOQRAKW3.GT        AI引擎        447f06dffa3fc69fd315021943c69a7b        未清理        C:\Users\UnknownOoo\Downloads\Compressed\1120\231120-02-AgentTesla-45d360.exe

复制代码

kuroandsan

Avira 清空