Uploaded_file Trojan CobaltStrike - Звіт скану

Оновлено 1 year ago

Перевірено Malaware Check

uploaded_file

Технічний аналіз

Ім'я файлу	uploaded_file
Версія сканера	1.0.136.174
Версія бази даних	2023-09-09 08:01:35 UTC

⚠

Trojan.Win32.CobaltStrike.bot

Сімейство шкідливого ПЗ: CobaltStrike

Cobalt Strike є фреймворком тестування на проникнення, який розгортає агент Beacon для контролю системи. Хоча розроблений для легітимного тестування безпеки, надає виконання команд, кейлогінг, передачу файлів, ескалацію привілеїв та можливості латерального руху. Інструмент працює в пам'яті для уникнення виявлення на основі диска та підтримує множинні протоколи зв'язку.

N/A

Рівень виявлення

1,279,488

Розмір файлу (байти)

2023-09-09

Дата аналізу

Сканувати інший файл

Ідентифікація файлу

Тип хешу	Значення	Дія
MD5	05880b43e1aee93d96720a62f6a5ad90
SHA1	af77d40c2cb3573c2b40473916c89bbb9a04365f
SHA256	95ef7c5497d1bb19f2571bad529044f282399c90fdc27d8a77c5ff3aebcf5313
SHA512	6b5b050a6bee7728183deffe3051f113fa31ffcc5394c683563dec8501ddeede3ae58dbe2c91c8e05a50a9a1115bce827e23d48aafdf6a7de3db797d4eba6a9b
ImpHash	c7269d59926fa4252270f407e4dab043

PE-аналіз

Основна інформація

▼

Базова адреса	`0x00400000`
Точка входу	`0x00454b00`
Час компіляції	1970-01-01 00:00:00
Контрольна сума	0x00000000 (Фактична: 0x0014687e)
Версія ОС	6.1
Підписи PEiD	Підписи не виявлено
Цифровий підпис	The PE file does not contain a certificate table.
Імпорти	1 бібліотек kernel32
Експорти	0 функцій
Ресурси	0 Ресурси
Секції	13 Секції

PE-секції

▼

Назва	Віртуальна адреса	Віртуальний розмір	Фізичний розмір	Ентропія	Характеристики	MD5
`.text`	`0x00001000`	393,120 bytes	393,216 bytes	6.13 (Нормально)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`C9633655664D959129BAFA6E31D1F105`
`.rdata`	`0x00061000`	417,468 bytes	417,792 bytes	5.55 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`42C0A270351788A590FEC710DC535034`
`.data`	`0x000c7000`	184,920 bytes	9,728 bytes	3.36 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`6B5A3385A2F1DAE11318D59A5D309D83`
`/4`	`0x000f5000`	281 bytes	512 bytes	4.83 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_1BYTES`	`28A3E9C96B9BB43E6541A26C8F68899B`
`/19`	`0x000f6000`	83,433 bytes	83,456 bytes	7.99 (Запаковано/Зашифровано)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_1BYTES`	`1055E13D4A44A591EAF059F7614AC182`
`/32`	`0x0010b000`	15,575 bytes	15,872 bytes	7.94 (Запаковано/Зашифровано)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_1BYTES`	`F4587638780B2D1B7DB936398882B6CE`
`/46`	`0x0010f000`	48 bytes	512 bytes	0.86 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_1BYTES`	`40CCA7C46FC713B4F088E5D440CA7931`
`/65`	`0x00110000`	152,818 bytes	153,088 bytes	8.00 (Запаковано/Зашифровано)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_1BYTES`	`EE51F11F0A5EF6185E5A88ADB41F6983`
`/78`	`0x00136000`	75,690 bytes	75,776 bytes	7.98 (Запаковано/Зашифровано)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_1BYTES`	`6E935504082EBE6C62796EBC01FBD995`
`/90`	`0x00149000`	25,377 bytes	25,600 bytes	7.92 (Запаковано/Зашифровано)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_1BYTES`	`C2CCAA783209BC15BB09A4AFE8068B28`
`.idata`	`0x00150000`	1,000 bytes	1,024 bytes	4.64 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`7EB833B1DF4CA7232A629E1A378A5210`
`.reloc`	`0x00151000`	31,246 bytes	31,744 bytes	6.50 (Стиснуто)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`6B7A298CD35E9CEE1905399010BE6219`
`.symtab`	`0x00159000`	69,774 bytes	70,144 bytes	5.04 (Нормально)	`IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`5613F38311D6EA4C3FFBEF841073A907`

Попередження аналізу ентропії

5 секція(ї) з високою ентропією (≥7.5) виявлено - можливе пакування/шифрування

1 секція(ї) з підвищеною ентропією (≥6.5) - можливе стиснення

Аналіз ланцюга сертифікатів

▼

Немає цифрових підписів

Цей файл не має цифрового підпису.

Наслідки для безпеки:

Неможливо перевірити особу видавця
Підвищений ризик безпеки при запуску цього файлу
Може викликати попередження безпеки на деяких системах

⚠ Цей файл не має цифрового підпису або ланцюг сертифікатів не може бути перевірений.
Будьте обережні при запуску непідписаних файлів з невідомих джерел.

Статус перевірки сертифіката

The PE file does not contain a certificate table.

Рекомендація: Перевірте джерело файлу та переконайтеся, що він походить від надійного видавця.

Видалення Trojan.Win32.CobaltStrike.bot

Gridinsoft має можливість виявляти та видаляти Trojan.Win32.CobaltStrike.bot без подальшого втручання користувача.

Завантажити Anti-Malware

Інструкції з видалення

Виконайте ці кроки, щоб повністю видалити загрозу з вашої системи

Почніть з завантаження Gridinsoft Anti-Malware на ваш комп'ютер.
Двічі клацніть на файлі gsam-uk-install.exe і дотримуйтесь інструкцій на екрані для встановлення програми.
Після завершення встановлення Gridinsoft Anti-Malware, програма відкриється на екрані сканування.
Натисніть кнопку "Стандартне сканування", щоб почати сканування вашого комп'ютера на наявність загроз.
Після завершення процесу сканування натисніть "Очистити зараз", щоб видалити всі виявлені загрози.
Якщо буде запропоновано, перезавантажте систему, щоб завершити процес видалення та переконатися, що всі загрози усунено.

Важливо: Перед початком

Від'єднайтеся від інтернету, щоб запобігти поширенню шкідливого ПЗ або завантаженню додаткових загроз. Запустіть сканування в безпечному режимі для кращого виявлення та видалення стійких загроз.

Залишити коментар

Поділіться своїми думками або спостереженнями щодо цього файлу. Чи погоджуєтесь ви з нашим висновком?

* Ваш відгук може вплинути на наш рейтинг. Ваша електронна адреса залишиться конфіденційною і буде використана лише для зв'язку з вами за необхідності.

Ваша оцінка для

5 4 3 2 1