FakeAPP 3X

显示全部楼层 · 发表于 2023-12-19 14:44:07

本帖最后由 hsks 于 2023-12-19 14:49 编辑

https://cowtransfer.com/s/71cab55dc7b246
https://share.weiyun.com/kBvrjp4m
https://f.ws59.cn/f/cxy1447523c
https://cloud.rhinelab.io/s/G7tp
https://www.123pan.com/s/FJUmjv-AaLN.html
https://pan.huang1111.cn/s/vXXKTE

显示全部楼层 · 发表于 2023-12-19 14:47:05

本帖最后由嘿嘿不能说于 2023-12-19 23:28 编辑

MID01.msi：

SMS1.2.exe：杀2衍生物

显示全部楼层 · 发表于 2023-12-19 14:57:54

本帖最后由 GDHJDSYDH 于 2023-12-19 15:03 编辑

EIS扫描kill 1x，剩下的EIS+KFA扫描均miss；沙箱内运行安装，EIS kill其中1x所释放的衍生物，另外1x成功安装并且EIS+KFA均无反应

显示全部楼层 · 发表于 2023-12-19 15:04:14

本帖最后由 GreatMOLA 于 2023-12-19 15:23 编辑

Check Point 执行

自动响应，处置后系统中已无相关进程。（由于条件所限，仅能放出部分截图。）

自动处置（部分截图）

XDR出现多条告警，IOC指向FakeAPP安装包。

XDR告警（节选）: Possible threat classified as "SoftcnApp" reaching stage "Execution"

Check Point AI Copilot 分析

On December 19, 2023, the Extended Detection and Response (XDR) system identified and neutralized two threats on the 'VMPC-1218-10LTS' virtual machine during 'User1211's' session. The threats, namely 'lnnloader.exe' and 'bor32-update-flase.exe', were linked to the 'SoftcnApp' and 'Gen.Rep.' attacks respectively, and initiated via the suspicious process: '2b29be4108708df1sdl.exe'. Utilizing Threat Emulation technology, XDR employed internet-connected sandboxes for early multi-stage attack prevention and file analysis for proactive threat identification and mitigation. This approach not only curbs false alarms but also strengthens defense against malware and security breaches.
The incidents align with the Mitre technique "User Execution", indicating an adversary's dependence on user actions to execute their plans. Such actions often involve users falling prey to social engineering tactics that lead them to activate malicious code by opening harmful documents or links. This technique is typically a subsequent behavior observed after "Phishing" or occasionally post "Internal Spearphishing".

显示全部楼层 · 发表于 2023-12-19 15:26:53

fs 扫描miss

显示全部楼层 · 发表于 2023-12-19 15:37:32

系统拦截第一第三个，毛豆自动入沙第二个

显示全部楼层 · 发表于 2023-12-19 17:31:06

火绒
扫描：2x

扫描文件：3
发现风险：2
已处理风险：0
病毒详情：
风险路径：C:\Users\UnknownOoo\Downloads\Compressed\F3X\SMS1.2.exe, 病毒名：HVM:Backdoor/Farfli.i, 病毒ID：fc56f24e4fb42aa7, 处理结果：暂不处理
风险路径：C:\Users\UnknownOoo\Downloads\Compressed\F3X\W-P-S64.102aOffice.exe, 病毒名：TrojanDropper/Agent.pk, 病毒ID：a7d877fca24f595d, 处理结果：暂不处理

复制代码

运行：
MID01.msi -> 捉衍生物

病毒名称：HVM:TrojanDownloader/Maloader.t
病毒ID：A456DEFD96738281
病毒路径：C:\updot\onliawaz.exe

复制代码

显示全部楼层 · 发表于 2023-12-19 17:58:55

SEP扫描均不报，双击SMS1.2程序报错退出，双击W-P-S64.102aOffice全程未见拦截，双击MID01杀衍生物

显示全部楼层 · 发表于 2023-12-19 19:43:27

本帖最后由 784696777 于 2023-12-19 19:44 编辑

显示全部楼层 · 发表于 2023-12-19 22:12:08

[病毒样本] FakeAPP 3X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源