CobaltStrike 1x

DisaPDB

360 miss 触发自动上报

秋日之殇

事件: 检测到恶意对象
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
应用程序名称: a023.exe
应用程序路径: C:\Users\lybing\Desktop\a023
组件: 安全浏览
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Multi.Donut.b
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: fuck.bin
对象路径: hxxp://8.217.135.157
对象的 MD5: 8DF050C1A46DE61F80982C809B6E0C29
原因: 专家分析
数据库发布日期: 今天，2023/12/23 15:30:00

UNknownOoo

火绒

1. 扫描文件：1
   
2. 发现风险：1
   
3. 已处理风险：0
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\a023.exe, 病毒名：HVM:TrojanDownloader/ShellLoader.m, 病毒ID：295026da5e8bf38c, 处理结果：暂不处理

复制代码

X-Sec
扫描：MISS

swizzer

1. 流量扫描已检测到威胁。已拒绝访问网页。8.217.135.157/fuck.bin 包含类型为 Generic.ShellCode.Donut.Marte.4.B4EB9494 的恶意软件

复制代码

1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2023/12/23 20:07:04;高级内存扫描程序;文件;系统内存 > a023.exe(7268);MSIL/Agent.CFQ 特洛伊木马 的变量;已包含被感染的文件;;;0ED3A70C16AC67922BD80F934F25BD04B50BC883;
   

复制代码

hhhq316

蜘蛛 EMSI 扫描Miss

dght432

类型:木马-Win64/Trojan.Generic.HgEATQIA
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:D:\360安全浏览器下载\a023\a023.exe
文件大小:784.9K (803,731 字节)
文件指纹（MD5）:57397ad9889d2009e87456ef4154bf4d
处理建议:隔离文件

Nocria

IKARUS

1. Date and Time:       12/23/2023 5:34:00 PM
   
2. File Name:           a023.exe
   
3. Original Path:       C:\Users\promi\Desktop\a023
   
4. File Size:           803731 b
   
5. File Size:           784.89 kB
   
6. Detection Name:      Trojan.Win64.Cobaltstrike
   
7. Detection-ID:        5043185
   
8. Suggestion:          Backup and Delete

复制代码

Baby小尧

ESET：扫描miss，live guard未报，双击运行，但全盘扫描内存杀，但安装包本体未清除
系统内存 > a023.exe(8180) - MSIL/Agent.CFQ 特洛伊木马 的变量 - 已包含被感染的文件

嘿嘿不能说

天守：一开始不报，过了一会后监控击杀

PS.双击后没有任何拦截也没有任何异常是因为连不上C2了（悲）





Update：后来C2能连上了，我修改了一下MD5绕过了天守的检测，运行天守无拦截，寄（悲）

biue