Analysis
-
max time kernel
104s -
max time network
13s -
platform
windows7_x64 -
resource
win7v20201028 -
submitted
08-04-2021 12:36
Static task
static1
Behavioral task
behavioral1
Sample
Fattura di errore.exe
Resource
win7v20201028
Behavioral task
behavioral2
Sample
Fattura di errore.exe
Resource
win10v20201028
General
-
Target
Fattura di errore.exe
-
Size
958KB
-
MD5
6546bd083796d7fa2f20246a4bffc82b
-
SHA1
06d4a96dae07bf99da76cc57585eae0dca31053c
-
SHA256
14e98f487bcb81ea810e155c7917d298d4ebbc674c795439a1cfa3775f85a679
-
SHA512
9da93507ae7c83cf85486dc4dd82f3389088622105e0c9da3c0d436f543f8050b992222efccc335ae66d9ba1db5d99d080d9a07fc70bb7d6522ef22c5ffa2784
Malware Config
Signatures
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Creates scheduled task(s) 1 TTPs 1 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
-
Suspicious behavior: EnumeratesProcesses 7 IoCs
Processes:
Fattura di errore.exepid process 1680 Fattura di errore.exe 1680 Fattura di errore.exe 1680 Fattura di errore.exe 1680 Fattura di errore.exe 1680 Fattura di errore.exe 1680 Fattura di errore.exe 1680 Fattura di errore.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes:
Fattura di errore.exedescription pid process Token: SeDebugPrivilege 1680 Fattura di errore.exe -
Suspicious use of WriteProcessMemory 24 IoCs
Processes:
Fattura di errore.exedescription pid process target process PID 1680 wrote to memory of 1068 1680 Fattura di errore.exe schtasks.exe PID 1680 wrote to memory of 1068 1680 Fattura di errore.exe schtasks.exe PID 1680 wrote to memory of 1068 1680 Fattura di errore.exe schtasks.exe PID 1680 wrote to memory of 1068 1680 Fattura di errore.exe schtasks.exe PID 1680 wrote to memory of 1312 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 1312 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 1312 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 1312 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 1056 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 1056 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 1056 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 1056 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 820 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 820 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 820 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 820 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 924 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 924 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 924 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 924 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 528 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 528 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 528 1680 Fattura di errore.exe Fattura di errore.exe PID 1680 wrote to memory of 528 1680 Fattura di errore.exe Fattura di errore.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\schtasks.exe"C:\Windows\System32\schtasks.exe" /Create /TN "Updates\ZGxgREWnZ" /XML "C:\Users\Admin\AppData\Local\Temp\tmp95D9.tmp"2⤵
- Creates scheduled task(s)
-
C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"2⤵
-
C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"2⤵
-
C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"2⤵
-
C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"2⤵
-
C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"2⤵
Network
MITRE ATT&CK Matrix ATT&CK v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
C:\Users\Admin\AppData\Local\Temp\tmp95D9.tmpMD5
79bce9febd0f6ce6ad3f78c44cd9795c
SHA147e6bc0dbaa34b83404c41e1412da4cd88af8970
SHA256d4708ab1abd9f1d2094d8d0dca4d5255ff2aa653fef775f7e3323b2803b79609
SHA512b209bb906dff78a73473b020da946f41cdd05efb33a3c544083d72dfe756405676437378210597c6860139dabf248b7916790c14ca9a9b3b8c8d6b7263e0094c
-
memory/1068-66-0x0000000000000000-mapping.dmp
-
memory/1680-59-0x0000000000320000-0x0000000000321000-memory.dmpFilesize
4KB
-
memory/1680-61-0x0000000004DA0000-0x0000000004DA1000-memory.dmpFilesize
4KB
-
memory/1680-62-0x0000000000450000-0x0000000000454000-memory.dmpFilesize
16KB
-
memory/1680-63-0x000000007EF40000-0x000000007EF41000-memory.dmpFilesize
4KB
-
memory/1680-64-0x0000000005CB0000-0x0000000005D53000-memory.dmpFilesize
652KB
-
memory/1680-65-0x0000000004580000-0x00000000045DE000-memory.dmpFilesize
376KB