安全星图平台
安全星图平台
平台首页 情报社区 漏洞情报 安全研究 云沙箱
APT组织
全景图 组织列表
情报社区 > 内容详情

【安全资讯】探针中发现下载恶意文件流量事件

安恒分子实验室-xt 2020-07-31 06:08:31 2436人浏览

探针中发现下载恶意文件流量事件分析

分子实验室——https://www.molecule-labs.com

1.1.1. 事件概述

存在有服务器向88.218.16.57地址下载文件


1.1.2. 样本分析

文件下载地址威胁情报如下:


该文件沙箱检测结果如下:


样本执行会发生以下行为:

释放cnmdb.exe恶意文件,cnmdb.exe释放[随机字符].exe恶意文件以及创建服务项后自我删除




连接88.218.16.57下载AdPopBlocker.exe文件执行,执行后释放hentai.exe,byjbuue.exe恶意文件




AdPopBlocker.exe存在扫描框架行为


tyjbuue.exe恶意文件向88.218.16.210,139.162.72.83,172.105.239.24下载文件,发送数据等网络行为


下载sesnordateservice.exe文件,sesnordateservice.exe文件向Windows文件夹下释放uzcizkcp\kbichwa.exe


kbichwa.exegie.ezrutou.ir浏览conf.dat文件


kbichwa.exe文件设置自启,计划任务,服务项,下载黑客工具,更改端口信息









静态中也存在下载的地址



文件夹下工具具有以下功能:

检测电脑信息工具



漏洞攻击工具存在占用大量CPU以及创建删除文件等行为





字典以及sql语句:




扫描端口工具:




UnattendGC文件夹下存在感染病毒,黑客工具等:





sesnordateservice.exe,AdPopBlocker.exe,kbichwa.exe文件做比较,都有存在相同段,已经反编译中查看,这些恶意文件都存在相同功能







下图为download.exe执行过程:

综上,下载的样本存在常驻,传播等高危险行为

1.1.3. IOCS

Url :

88.218.16.57

88.218.16.210

139.162.72.83

gie.ezrutou.ir:63145

Sub.OieyFeD.ir:80

Js.OieyFeD.ir:443

Ecc.OieyFeD.ir

http[:]//UeR.ReiyKiQ.ir[/]download.exe

MD5 :

18658EC193BD0BCBB840BA86650AD2E8

6D2A5D8B341883A7403B48363144C054

DAF42817F693D73985CD12C3052375E2

386BE8418171626F63ADB52D763CA1C0

2140245D176FF74327B62FD3686B2258

28B96AAE60403F747B74BE7D4A23612B

20425A46458966175F88581B819C35AC

26AEDC10D4215BA997495D3A68355F4A

CEB925B640DAEBE5F25C710DC031E9E3

F08DB60A21AEDE34902860485CEFE385

EA774C81FE7B5D9708CAA278CF3F3C68

8BD2C5E849ABC51E721568871E670DFC

86316BE34481C1ED5B792169312673FD

4633B298D57014627831CCAC89A2C50B

F21C77A54EAB352E638280490062DC52

6167EF1FC88EDBF11949034AD0F0FE2B

D5ABE77C071D7D0CAE859E9A9247256D

08B6C44E03BF6648A09C80DD73655E18

CF2A5731EC9C93227DADCFE3D539943E

D464F1D389593B6DC285E64BC8B211AC

E69AD88D1E0FED78E2D408CB2630D8DC

80FBEC33C825E0D8816BD0A0D5EECCFE

E2BC32F7A176CF353A195E416C1505AD

C7F79E5067E76121C322ACEE9B611291

22BB1452CA9BC4B8D346368D3F4DB6C2

6612282F37F7CBDD2A962577FA49EF66

E4FF1EF997A3A1419F22938F83C91E45

25371E6920E3B4C01965027270C41095

97E9C748B1DC0AF35038BB821306F2A3

79A93CD528ED781C8ABE4FAB7AC5B73E

5ABC7B9BA21C2C88B95EB9A931EA6954

C1BB4B9B05AE93EE319EB9A6001EF5FD

4BD7BDDCC67816E436B38061445C1C61

48442048EE3AB045FCB08809597E03B4

0F79EFE75CBFEC70059A90A09762BEBA

462391B94FB3E5AB67A27C9B08860A76

失陷指标(IOC)44
漏洞利用 僵尸网络Botnet 其他
    0条评论
    安恒分子实验室-xt

    TA很神秘

    25
    发布内容
    22
    评论IOC
    相关推荐
    Windows驱动程序中的整数溢出漏洞导致特权提升,PoC已发布
    漏洞利用
    MITRE发布2024年最危险软件漏洞前25名
    漏洞利用
    CVE-2024-10571:WordPress Chart Plugin中的严重漏洞正遭到积极攻击
    漏洞利用
    FBI、CISA和NSA揭示2023年最常被利用的漏洞
    漏洞利用
    谷歌声称其AI首次发现SQLite安全漏洞
    漏洞利用
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。