CobaltStrike木馬artifact.exe規避火絨，360，node32沙盒的方法分析

最近發現一個奇怪的現象，我用CobaltStrike直接生成一個裸奔測試後門artifact.exe 然後使用火絨掃描，火絨居然沒有直接查殺 自己上線自己 按理說這種被滲透人員大量使用的後門，不管它原本使用了哪些牛逼的沙盒繞過手法都應該被直接特徵碼定位查殺，根本不不用殺軟沙盒分析。很明顯，火絨應該是忘了加針對CobaltStrike的特徵碼，然後使用後一步的沙盒分析但是不幸的是，沙盒分析也被Cob

>>阅读原文<<