ThreatFox IOC Database

You are viewing the ThreatFox database entry for url https://40.86.87.161:443/search/.

Database Entry


IOC ID:294760
IOC: https://40.86.87.161:443/search/
IOC Type :url
Threat Type :botnet_cc
Malware: Cobalt Strike
Malware alias:Agentemis, BEACON, CobaltStrike
Confidence Level : Confidence level is moderate (50%)
First seen:2022-01-13 19:55:58 UTC
Last seen:never
UUID:d3abf8b9-74aa-11ec-8ab6-42010aa4000a
Reporter @HarioMenkel
Reward 10 credits from anonymous
Tags:CobaltStrike

Twitter
@HarioMenkel
[ Download URL of Beacon ]
https://40.86.87.161:443/
[ Extracted Beacon Config ]
BeaconType: ['HTTPS']
Port: 443
SleepTime: 60000
MaxGetSize: 2098660
Jitter: 20
MaxDNS: Not Found
PublicKey: b'0\x81\x9f0\r\x06\t*\x86H\x86\xf7\r\x01\x01\x01\x05\x00\x03\x81\x8d\x000\x81\x89\x02\x81\x81\x00\xdf\x00/9\x81-\xfd\x03\xcd\xb5%\xc6\x15j+\xf7\x9b\xb4\xd8\xb3\xd4\xb6@r+\\x\x18\xa2|\xc0\xc2\t\x0c\x99\x03\x10\\<<\x94\x8c\xd1\x9e\x1cUT\xf0\x86\x8b\xe4\xe0\x0b\x1b\x86\xfb\xd5\xe2zB\x916\x1f\xea\xe8\x97\\Na\xef\xafj\xb3uNv)\xe2\x8c<\x0c\xe4\x9d\xbc\xf97\xeb\xb0\x02*\xf5\\q\xf0\xa7\r(I\xc7\xe7\xa2\xece\xd0\x8av\xdb\xd1S\x81\xf2e\xa2\xbd\x85\xc8L\xfb\xbam\x81\x04\x99\x8d\xf0\xbc\xe5\xc3\x02\x03\x01\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PublicKey_MD5: 6ce232e593c6c66a61e1dbde142dc5c7
C2Server: 40.86.87.161,/search/
UserAgent: Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko OCTAVIO
HttpPostUri: /Search/
Malleable_C2_Instructions: ['Remove 833 bytes from the end', 'Remove 675 bytes from the beginning', "NetBIOS decode 'a'"]
HttpGet_Metadata: {'ConstHeaders': ['Host: www.bing.com', 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8', 'Cookie: DUP=Q=GpO1nJpMnam4UllEfmeMdg2&T=283767088&A=1&IG'], 'ConstParams': ['go=Search', 'qs=bs', 'form=QBRE'], 'Metadata': ['base64url', 'parameter "q"'], 'SessionId': [], 'Output': []}
HttpPost_Metadata: {'ConstHeaders': ['Host: www.bing.com', 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8', 'Cookie: DUP=Q=GpO1nJpMnam4UllEfmeMdg2&T=283767088&A=1&IG'], 'ConstParams': ['go=Search', 'qs=bs'], 'Metadata': [], 'SessionId': ['base64url', 'parameter "form"'], 'Output': ['base64url', 'parameter "q"']}
SpawnTo: b'\x1au\x97\xd1/!\x83{\xba\x9d+\xebw\x86w\x0c'
PipeName: Not Found
DNS_Idle: Not Found
DNS_Sleep: Not Found
SSH_Host: Not Found
SSH_Port: Not Found
SSH_Username: Not Found
SSH_Password_Plaintext: Not Found
SSH_Password_Pubkey: Not Found
SSH_Banner:
HttpGet_Verb: GET
HttpPost_Verb: GET
HttpPostChunk: 96
Spawnto_x86: %windir%\syswow64\w32tm.exe
Spawnto_x64: %windir%\sysnative\w32tm.exe
CryptoScheme: 0
Proxy_Config: Not Found
Proxy_User: Not Found
Proxy_Password: Not Found
Proxy_Behavior: Use IE settings
Watermark: 1571790984
bStageCleanup: False
bCFGCaution: False
KillDate: 0
bProcInject_StartRWX: True
bProcInject_UseRWX: True
bProcInject_MinAllocSize: 0
ProcInject_PrependAppend_x86: Empty
ProcInject_PrependAppend_x64: Empty
ProcInject_Execute: ['CreateThread', 'SetThreadContext', 'CreateRemoteThread', 'RtlCreateUserThread']
ProcInject_AllocationMethod: VirtualAllocEx
ProcInject_Stub: b'\x04\xe0\xa1\x1b\xe5\x91G\xa8\xd7=+>\x9f\xea\x83,'
bUsesCookies: True
HostHeader:
smbFrameHeader: b'\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
tcpFrameHeader: b'\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
headersToRemove: Not Found
DNS_Beaconing: Not Found
DNS_get_TypeA: Not Found
DNS_get_TypeAAAA: Not Found
DNS_get_TypeTXT: Not Found
DNS_put_metadata: Not Found
DNS_put_output: Not Found
DNS_resolver: Not Found
DNS_strategy: round-robin
DNS_strategy_rotate_seconds: -1
DNS_strategy_fail_x: -1
DNS_strategy_fail_seconds: -1