Malware CobaltStrike - Звіт скану
| Онлайн-сканер вірусів | v.1.0.138.174 |
| Версія БД: | 2023-09-10 20:01:43 |
Malware.Win64.CobaltStrike.cld
Cobalt Strike - це платний інструмент для пенетраційного тестування, який використовується професіоналами з безпеки для розгортання агента під назвою 'Beacon' на системі цільової атаки. Beacon надає різні функції оператору, включаючи виконання команд, логування натискань клавіш, передачу файлів, SOCKS-проксі, підняття привілеїв, mimikatz, сканування портів та боковий рух. Beacon працює в пам'яті і не зберігається на диску, завантажуючись у пам'ять процесу після використання вразливостей або виконання завантажувача для кодування shellcode, уникнувши зберігання на диску. Він підтримує комунікацію і стадіювання через кілька протоколів, включаючи HTTP, HTTPS, DNS, SMB з іменованими каналами та обидві прямі та зворотні TCP-з'єднання, з можливістю ланцюгування. Крім того, Cobalt Strike включає в себе набір засобів Artifact Kit для створення завантажувачів shellcode.
| Перевірено | 2023-09-10 20:54:19 |
| MD5 | cfab3bce973877f871fab477ff738d16 |
| SHA1 | a2da7b8735e580824355fcee61705edcfc5b7f65 |
| SHA256 | c72d1b903c65ebef5b20ee6e70eb3a46c49c72c74232fc66a62add763b061245 |
| SHA512 | ff3064bd5bb52d079c75d9d90944360eb11bbd035093eee268dd9df4ffc508df2c0c99daca612a511b69ed1aeb5498c773d749d80069064abc9bbc0ec4cddfde |
| Imphash | 9ac54dbf0e879da3dc3691bd7af5d6bf |
| File Size | 310784 bytes |
Видалення Malware.Win64.CobaltStrike.cld
Gridinsoft має можливість виявляти та видаляти Malware.Win64.CobaltStrike.cld без подальшого втручання користувача.
- Спочатку завантажте Gridinsoft Anti-Malware на свій комп'ютер.
- Подвійно клацніть по файлу gsam-uk-install.exe і слідуйте інструкціям на екрані для встановлення програми.
- Після завершення установки Gridinsoft Anti-Malware програма відкриється на екрані сканування.
- Клацніть кнопку "Стандартне".
- Після завершення процесу сканування клацніть "Очистити" для видалення виявлених загроз.
- Якщо вас попросять, перезавантажте систему, щоб завершити процес видалення.
Інформація про файл (PE)
| Image Base: | 0x180000000 |
| Entry Point: | 0x180001490 |
| Compilation: | 2023-09-10 19:22:57 |
| Checksum: | 0x00000000 (Actual: 0x0005b3de) |
| OS Version: | 6.0 |
| PDB Path: | D:\QUANNVTOOLS\Dev\wevtapi\x64\Release\wevtapi.pdb |
| PEiD: | PE32+ executable (DLL) (GUI) x86-64, for MS Windows |
| Sign: | The PE file does not contain a certificate table. |
| Sections: | 6 |
| Imports: | KERNEL32, VCRUNTIME140, api-ms-win-crt-runtime-l1-1-0, |
| Exports: | 45 |
| Resources: | 1 |
Секції
| Назва | Віртуальна Адреса | Віртуальний Розмір | Реальний Розмір | MD5 | Ентропія |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x00001018 | 0x00001200 | 9065a606c9f523b0885b619bae8d4a3d | 5.84 |
| .rdata | 0x00003000 | 0x00049f06 | 0x0004a000 | ce64dd2233b56a2e4353fbecfef62852 | 7.77 |
| .data | 0x0004d000 | 0x00000640 | 0x00000200 | f7be62718ed97c82bb8ff763a650ee8c | 0.43 |
| .pdata | 0x0004e000 | 0x000001e0 | 0x00000200 | 4e59cb6f97279a69df5505cc6ad29cd4 | 3.86 |
| .rsrc | 0x0004f000 | 0x000000f8 | 0x00000200 | 28aba3e9d8e1d7c770a208195a6afe9f | 2.53 |
| .reloc | 0x00050000 | 0x00000034 | 0x00000200 | 09af96ef4aee3574b706705789a68b1c | 0.66 |
