CobaltStrike 1x

t0kenzero

DisaPDB 发表于 2024-1-22 19:47
外联：139.155.190.198
云函数进行通信以隐藏C2

测不出来行为，估计反沙箱太严了。

Fadouse

EIS & KIS miss
均未双击

user114514

这到底是啥，蜘蛛、智量扫描无反应，丢沙箱没法跑，上报蜘蛛转了半小时还传不上去
1月23日蜘蛛报无害（已机翻）

你好，


您的请求已经被分析。您发送的文件不会构成威胁。




谢谢你的合作

要收到英文通知，请发送空白电子邮件至lang@rt-web.dev.drweb.com

--
恕我直言，
病毒监控服务有限公司“网络医生”

类别:可疑文件
-------------------查询--------------------------------------

你好啊

用户发送给我们一个可疑文件。

GDHJDSYDH

t0kenzero 发表于 2024-1-22 20:06
测不出来行为，估计反沙箱太严了。

VT上目前也基本都是机学引擎检出，看样子确实存在着严格的反沙箱

DisaPDB

GDHJDSYDH 发表于 2024-1-23 00:18
VT上目前也基本都是机学引擎检出，看样子确实存在着严格的反沙箱

看了一眼目前国内云沙箱也只有微步云跑出来行为了，但是我本地命中的内存特征不在少数，所以觉得能确定是CS家族

t0kenzero

DisaPDB 发表于 2024-1-23 07:05
看了一眼目前国内云沙箱也只有微步云跑出来行为了，但是我本地命中的内存特征不在少数，所以觉得能确定是 ...

你本地能跑起来行为？

DisaPDB

t0kenzero 发表于 2024-1-23 11:53
你本地能跑起来行为？

Yara规则是静态的规则检测

t0kenzero

DisaPDB 发表于 2024-1-23 12:08
Yara规则是静态的规则检测

那你哪来的内存特征？ 上截图吧

DisaPDB

t0kenzero 发表于 2024-1-23 13:06
那你哪来的内存特征？ 上截图吧

我虚拟机都被远控了对面一直在跟我抢鼠标
你可以实体机测试一下
顺便，火绒拉黑了

1. 病毒名称：Trojan/Generic!382BD6EAC0497059
   
2. 病毒ID：382BD6EAC0497059
   
3. 病毒路径：C:\Users\Administrator\AppData\Local\Temp\BNZ.65afa74518ff36a\C2_Hide.exe
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件
   
6. 
   
7. 进程ID：8060
   
8. 操作进程：C:\Program Files\Bandizip\Bandizip.exe
   
9. 操作进程命令行："C:\Program Files\Bandizip\Bandizip.exe" "C:\Users\Administrator\Downloads\C2_Hide.zip"
   
10. 父进程：C:\Windows\explorer.exe

复制代码

Eset小粉絲

New malicious software was found in the attached file. Its detection will be included in the next update.
Trojan.Win64.Cobalt.ahz
Thank you for your help.

I added URL to database instead of the whole IP with clean tencent services.

Best regards, Ilya, Malware Analyst, Kaspersky

跟Ilya混熟了
拉黑IP会把其他白的一起拉黑