Cobalt Strike生成简单木马样本病毒分析 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770593

飞翔币: 207694

威望: 215657

飞扬币: 2511651

信誉值: 8

只看楼主更多操作 0 发表于: 2022-05-30

Cobalt Strike生成木马样本病毒分析报告2022年05月05日目录病毒信息1病毒概况1病毒危害1手工清除方法1漏洞补丁信息2应对措施及建议2文件行为2进程行为2注册表行为2网络行为3详细分析报告4样本溯源分析12病毒信息病毒名称：beaconHTTp.exe。病毒家族：病毒类型：。MD5： EF9FB3490F6ECB21734E4B4FCA1037F0。SHA1： 519A6AF6790BEE372DC6CC6CF33772F107C69F0F。文件大小：PE EXE。文件类型：284,672 bytes。传播途径：。专杀信息：暂无影响系统：。样本来源：。发现时间：。入库时间：。C2服务器：。病毒概况该样本是使用Cobalt Strike生成，Cobalt Strike是使用java编写，C/S 架构的商业渗透软件，适合多人进行团队协作，可以模拟对抗，进行内网渗透。该病毒payload类型是HTTP。病毒危害：恶意木马后门，被远程控制。手工清除方法1).首先结束进程，找到病毒地址，将其删除。漏洞补丁信息暂无应对措施及建议1).建议用户保持良好的上网习惯，不要随意打开来路不明的邮件及文档。2).及时更新系统及软件，保持系统和软件保持最新版本。3).不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。4).安装专业的防毒软件升级到最新版本，并开启实时监控功能。5).不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。6).保持防火墙的开启。文件行为1).打开C:WindowsSystem32sechost.dll。2).打开C:WindowsSystem32imm32.dll。3).打开C:WindowsSystem32cryptsp.dll。4).打开C:WindowsSystem32rsaenh.dll。5).打开设备DeviceAfd。......进程行为1).启动自身。注册表行为1) .修改注册表键值：HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingbeaconHTTp_RASAPI32EnableFileTracing, type:0x00000004 datalen:4 data:'00 00 00 00 ' , 0x00000000HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingbeaconHTTp_RASAPI32EnableConsoleTracing, type:0x00000004 datalen:4 data:'00 00 00 00 ' ,HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingbeaconHTTp_RASAPI32FileTracingMask, type:0x00000004 datalen:4 data:'00 00 FF FF ' , 0x00000000HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingbeaconHTTp_RASAPI32ConsoleTracingMask, type:0x00000004 datalen:4 data:'00 00 FF FF ' , 0x00000000HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingbeaconHTTp_RASAPI32MaxFileSize, type:0x00000004 datalen:4 data:'00 00 10 00 ' , 0x00000000HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingbeaconHTTp_RASAPI32FileDirectory, type:0x00000002 datalen......网络行为1).连接指定的IP网络：192.168.159.128:80端口。2).向192.168.159.128发送数据包。3).HTTP请求。详细分析报告1).首先生成木马病毒样本，使用kali虚拟机在root模式下在文件夹打开终端，输入 ./teamserver IP（kali） password，启动团队服务器模式，会进入等待：