字节跳动-刘*龙的简历样本后15日,高风险钓鱼IP地址为:36.99.188.109
,额外新增恶意样本(不排除样本检测测试可能)在每一次提交71个或64指标最后检测最低样本指标为5/71
一、 events02.huawei.com
恶意软件 ICCClient.exe
恶意名称:ICCClient.exe(伪装客户端) 体积14.39MB
,YARA 签名匹配中5个,其中一些是重复报警 :
SHA-256:6ef88b0238d639a377a80cb9c86b90af71644cd8e975a516b2c49e5ecdbc4c01
- 检测可疑双精度Base64 编码的 kernel32 函数,如 OpenProcess、WriteProcessMemory 和
CreateRemoteThre - 检测编码关键字- GetProcAddress
- 检测编码和加密的 CobaltSrike信标
恶意软件 CPC.exe
恶意名称为:CPC
5/70
体积19.47MB
这个是15日未更新的情况,根据最开始那张恶意列表的图,这个CPC最后更改是15日,后来我刷新了一下,AV显示16日凌晨1点左右有更新动作行为,变了成8/71
的检测指标
SHA-256:d0e07185e94799aeb86b32dba29f54fb2ad27633a3f827c9f7158c01379be4fa
YARA 签名匹配中5个,其中一些是重复报警 :
- 检测可疑双精度Base64 编码的 kernel32 函数,如 OpenProcess、WriteProcessMemory 和
CreateRemoteThre - 检测编码关键字- GetProcAddress
- 检测编码和加密的 CobaltSrike信标
以上可猜测为python打包,轻便,快捷,因为体积基本很大也比较,制作手法基本一致,并无太多其它痕迹,YARA规则捕获也是通过相关的编码加密、危险函数进行编码行为进行告警。
二、样本关联UR
15日的样本包括CPC、ICCClient关系通信URL几乎是:http://cloud.10086.cn/mall_100_100.html
,根据红雨滴最初报告样本是使用了域前置隐藏真实C2服务器(CDN隐藏通信手法)。
追溯15日样本,可以追溯相关关联的URL为以下:
http://kunpeng.huawei.com/mall_100_100.html
https://events02.huawei.com/mall_100_100.html
http://developer.huawei.com/mall_100_100.html
http://cloud.10086.cn/mall_100_100.html
三、关联域
events02.huawei.com.c.cdnhwc1.com
events02.huawei.com
hcdnwsa.global.c.cdnhwc6.com
hcdnw1256.global.c.cdnhwc6.com
www.hikunpeng.com.0bda5447.cdnhwc8.cn
cloud.10086.cn
developer.huawei.com