疑似远控病毒样本

.jar文件
释放x64-windows.dll-疑似运行库(shellcode运行时加载，包含JNI_OnLoad)，同时使用了JNA(通常用于后门和shellcode加载).
连接IP为45.145.231.159的香港服务器,表面用于客户端验证实际为Cobalt Strike服务端伺服器
连接一不明美国服务器,表面用于客户端验证实际为Cobalt Strike服务端伺服器

.json文件
包含依赖列表，包含JNA高危系统交:互操作库，疑似用于shellcode加载，
包含commons-codec高危加密库，疑似用于解密shellcode，
包含commons-codec高危加密库，疑似用于解密shellcode包含GSON库,可能用于与服务器交互获取远程操作进行远程执行


Vector.zip (24.03 MB)

2023-1-19 23:30 上传

点击文件名下载附件
下载积分: 经验 -1

感谢您的反馈，我们先分析这个文件看下