Cobalt Strike全新免杀

显示全部楼层 · 发表于 2024-5-23 23:19:38

本帖最后由 aboringman 于 2024-5-23 23:20 编辑

显示全部楼层 · 发表于 2024-5-23 23:33:37

被抓到内存特征了
Name: MEM:Trojan.Win32.Cometer.gen
Precision: Exactly
Threat level: High
Object type: File
Object name: 884ac11b3fb01ead5d0d50efe4d0797edb4d7cf499068a7e4e13dccfe046149f.exe

显示全部楼层 · 发表于 2024-5-23 23:37:52

下载不了啊

这些文件无法使用
发送者在完成上传前离开。您将无法下载文件。请询问发送者重新上传到Wormhole。

显示全部楼层 · 发表于 2024-5-24 00:44:29

soaringmz 发表于 2024-5-23 23:37
下载不了啊

这些文件无法使用

他链接修改出问题了，text和url不一样
CS杀

Scan created, scan ID: b929d3a1-c9e8-4b45-83aa-d333ff196d5d
Press any key to continue . . .
1 scans found:
Root Scan Path: c:\Downloads\missed\
Scan ID: b929d3a1-c9e8-4b45-83aa-d333ff196d5d
Status: Completed
Initiated from: User
Start Time: Thursday, May 23, 2024 4:39:24 PM
End Time: Thursday, May 23, 2024 4:40:24 PM
Scanned Files: 1
Unsupported Files: 0
Traversed Files: 1
Total Files: 1
Suspicious Files: 1
1: c:\Downloads\missed\Program_protected.exe
Press any key to continue . . .

复制代码

显示全部楼层 · 发表于 2024-5-24 11:09:40

avast kill

显示全部楼层 · 发表于 2024-5-24 11:13:30

不要看别人说的免杀，要自己试，这东西一点不免杀

显示全部楼层 · 发表于 2024-5-24 12:03:26

文件名: 884ac11b3fb01ead5d0d50efe4d0797edb4d7cf499068a7e4e13dccfe046149f.exe
威胁名称: Heur.AdvML.B完整路径: C:\Users\wangl\Downloads\884ac11b3fb01ead5d0d50efe4d0797edb4d7cf499068a7e4e13dccfe046149f\884ac11b3fb01ead5d0d50efe4d0797edb4d7cf499068a7e4e13dccfe046149f.exe

____________________________

____________________________

在电脑上
2024/5/24 ( 12:01:52 )

上次使用时间
2024/5/24 ( 12:03:53 )

启动项
否
已启动
否
威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。

____________________________

884ac11b3fb01ead5d0d50efe4d0797edb4d7cf499068a7e4e13dccfe046149f.exe威胁名称: Heur.AdvML.B
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

https://s.threatbook.com/apis/sa ... 046149f?type=sample
已下载文件从 threatbook.com
来源: 外部介质

884ac11b3fb01ead5d0d50efe4d0797edb4d7cf499068a7e4e13dccfe046149f.exe

____________________________

文件操作

文件: C:\Users\wangl\Downloads\884ac11b3fb01ead5d0d50efe4d0797edb4d7cf499068a7e4e13dccfe046149f\884ac11b3fb01ead5d0d50efe4d0797edb4d7cf499068a7e4e13dccfe046149f.exe已删除

____________________________

文件指纹 - SHA:
884ac11b3fb01ead5d0d50efe4d0797edb4d7cf499068a7e4e13dccfe046149f
文件指纹 - MD5:
9dab4d96c0b3235bdc920494b2185370

显示全部楼层 · 发表于 2024-5-24 13:57:41

anxiety520 发表于 2024-5-23 23:33
**** 作者被禁止或删除内容自动屏蔽 ****

奇怪了，21.17就能溯源到文件，21.3就是System Memory

显示全部楼层 · 发表于 2024-5-24 14:27:11

本帖最后由 UNknownOoo 于 2024-5-24 14:30 编辑

火绒
扫描：特征 1x

病毒详情：
风险路径：C:\Users\UnknownOoo\Downloads\Compressed\Program_protected.exe, 病毒名：Trojan/Injector.bnf, 病毒ID：1a8885063d1b4d9c, 处理结果：暂不处理

复制代码

病毒名称：Backdoor/CobaltStrike.l
病毒ID：7E662B652271E28F
虚拟地址：0x0000000001060000
映像大小：4.0KB
是否完整映像：是
数据流哈希：589865cf
操作结果：已处理
进程ID：10040
操作进程：C:\Users\Administrator\Desktop\Program_protected.exe
操作进程命令行："C:\Users\Administrator\Desktop\Program_protected.exe"
父进程ID：5596
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE

复制代码

显示全部楼层 · 发表于 2024-5-24 16:04:53

00006666 发表于 2024-5-24 11:13
不要看别人说的免杀，要自己试，这东西一点不免杀

是我的卡巴斯基自动上报了，在我上传之前是免杀的

[病毒样本] Cobalt Strike全新免杀

本帖子中包含更多资源