ThreatFox IOC Database

You are viewing the ThreatFox database entry for url http://5.199.162.229:80/nv.css.

Database Entry


IOC ID:295232
IOC: http://5.199.162.229:80/nv.css
IOC Type :url
Threat Type :botnet_cc
Malware: Cobalt Strike
Malware alias:Agentemis, BEACON, CobaltStrike
Confidence Level : Confidence level is moderate (50%)
First seen:2022-01-14 12:55:24 UTC
Last seen:never
UUID:3d27b5a3-7539-11ec-8ab6-42010aa4000a
Reporter @HarioMenkel
Reward 10 credits from anonymous
Tags:CobaltStrike

Twitter
@HarioMenkel
[ Download URL of Beacon ]
http://5.199.162.229/
[ Extracted Beacon Config ]
BeaconType: ['HTTP']
Port: 80
SleepTime: 55204
MaxGetSize: 2797185
Jitter: 39
MaxDNS: Not Found
PublicKey: b'0\x81\x9f0\r\x06\t*\x86H\x86\xf7\r\x01\x01\x01\x05\x00\x03\x81\x8d\x000\x81\x89\x02\x81\x81\x00\xc9\xbc-\x82A\x86\x88\xa2\xe4\xf8\xd6E\xcaT\xda\xcc\xe6R\xefrQ\x89DO\xa2\xde\xf7\xac\xfa\xf0\xb4\x00\x00\xd4Y3\xec\xeb\x80\xe7\xfc\x1e\x1e*T\n>\x96\xc2\xff\xc2 &6\x9d\x0f\xf0}\xa5\x98\x98\xf1u%\x93\x87oi\xa8\x0bv0B\xab\xbb\x92\xc5/\x8a\x85Ul_\x8e\x8b\x05 `#\x16\x84\xe0\x07\xa8f\xfc\x01\x0fi\xf4\xc1\xd7\x9e#k\x1b\x90\xcb\xc3\x86\x1b\xf9\xb3\xa3f\xcf]\xac\x02\xd3\x95\x19\xda\xfcq}\xec\xe5\x02\x03\x01\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PublicKey_MD5: cb6d6430483e678947467b68fe27e6cf
C2Server: 5.199.162.229,/nv.css
UserAgent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_2) AppleWebKit/601.3.9 (KHTML, like Gecko) Version/9.0.2 Safari/601.3.9
HttpPostUri: /ky
Malleable_C2_Instructions: ['Remove 981 bytes from the beginning', 'Base64 decode', "NetBIOS decode 'A'"]
HttpGet_Metadata: {'ConstHeaders': ['Host: sophospanels.com', 'Connection: close', 'Accept: image/jpeg', 'Accept-Encoding: gzip'], 'ConstParams': [], 'Metadata': ['base64url', 'base64', 'prepend "reg_fb_gate="', 'header "Cookie"'], 'SessionId': [], 'Output': []}
HttpPost_Metadata: {'ConstHeaders': ['Host: sophospanels.com', 'Connection: close', 'Accept-Language: en-US', 'Content-Type: text/plain'], 'ConstParams': [], 'Metadata': [], 'SessionId': ['base64', 'prepend "__session__id="', 'header "Cookie"'], 'Output': ['netbiosu', 'base64', 'print']}
SpawnTo: b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PipeName: Not Found
DNS_Idle: Not Found
DNS_Sleep: Not Found
SSH_Host: Not Found
SSH_Port: Not Found
SSH_Username: Not Found
SSH_Password_Plaintext: Not Found
SSH_Password_Pubkey: Not Found
SSH_Banner:
HttpGet_Verb: GET
HttpPost_Verb: POST
HttpPostChunk: 0
Spawnto_x86: %windir%\syswow64\WUAUCLT.exe
Spawnto_x64: %windir%\sysnative\WUAUCLT.exe
CryptoScheme: 0
Proxy_Config: Not Found
Proxy_User: Not Found
Proxy_Password: Not Found
Proxy_Behavior: Use IE settings
Watermark: 1359593325
bStageCleanup: True
bCFGCaution: False
KillDate: 0
bProcInject_StartRWX: False
bProcInject_UseRWX: False
bProcInject_MinAllocSize: 18991
ProcInject_PrependAppend_x86: [b'\x90\x90\x90\x90\x90\x90\x90\x90', 'Empty']
ProcInject_PrependAppend_x64: [b'\x90\x90\x90\x90\x90\x90\x90\x90', 'Empty']
ProcInject_Execute: ['CreateThread', 'RtlCreateUserThread', 'CreateRemoteThread']
ProcInject_AllocationMethod: VirtualAllocEx
ProcInject_Stub: b'\x0c\xe2\xf5TD\xe4y5\x16\xb5\xaf\xe9g\xbe\x92U'
bUsesCookies: True
HostHeader:
smbFrameHeader: b'\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
tcpFrameHeader: b'\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
headersToRemove: Not Found
DNS_Beaconing: Not Found
DNS_get_TypeA: Not Found
DNS_get_TypeAAAA: Not Found
DNS_get_TypeTXT: Not Found
DNS_put_metadata: Not Found
DNS_put_output: Not Found
DNS_resolver: Not Found
DNS_strategy: Not Found
DNS_strategy_rotate_seconds: Not Found
DNS_strategy_fail_x: Not Found
DNS_strategy_fail_seconds: Not Found