njrat | 9c241da391f641a5c4fabc87d324a8d2eab9cc9eced7368db9af5d946df811aa

General

Target

Presupuesto SEPT 21.pif.exe
Size

153KB
MD5

a85cab873032f76a3d5b8c686d60d14d
SHA1

23b5d5f953529e5a2d5462e49c741a09a613faa9
SHA256

9c241da391f641a5c4fabc87d324a8d2eab9cc9eced7368db9af5d946df811aa
SHA512

f5ce22a8259ae320202ed47bbc297f7e8e59e4b62acc72ab5e7ae036a18093dd3f4f4f8f7d49dc3cd901789a904e8d8627d818517c680ff873dbab3d976a0bbe

Score

10^/10

njrat evasion suricata trojan

Malware Config

Signatures

njRAT/Bladabindi
Widely used RAT written in .NET.
trojan njrat
suricata: ET MALWARE Generic njRAT/Bladabindi CnC Activity (ll)
suricata: ET MALWARE Generic njRAT/Bladabindi CnC Activity (ll)
suricata
Modifies Windows Firewall 1 TTPs
evasion

Modify Existing Service
T1031

Suspicious use of AdjustPrivilegeToken 35 IoCs

Processes:

Presupuesto SEPT 21.pif.exe

description	pid	process
Token: SeDebugPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe
Token: 33	2568	Presupuesto SEPT 21.pif.exe
Token: SeIncBasePriorityPrivilege	2568	Presupuesto SEPT 21.pif.exe

Suspicious use of WriteProcessMemory 3 IoCs

Processes:

Presupuesto SEPT 21.pif.exe

description	pid	process	target process
PID 2568 wrote to memory of 3992	2568	Presupuesto SEPT 21.pif.exe	netsh.exe
PID 2568 wrote to memory of 3992	2568	Presupuesto SEPT 21.pif.exe	netsh.exe
PID 2568 wrote to memory of 3992	2568	Presupuesto SEPT 21.pif.exe	netsh.exe

C:\Users\Admin\AppData\Local\Temp\Presupuesto SEPT 21.pif.exe
"C:\Users\Admin\AppData\Local\Temp\Presupuesto SEPT 21.pif.exe"
1⤵
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2568

C:\Windows\SysWOW64\netsh.exe
netsh firewall add allowedprogram "C:\Users\Admin\AppData\Local\Temp\Presupuesto SEPT 21.pif.exe" "Presupuesto SEPT 21.pif.exe" ENABLE
2⤵
PID:3992

Network

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Execution

Persistence

Modify Existing Service

1

T1031

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

memory/2568-115-0x0000000000D30000-0x0000000000D31000-memory.dmp

Filesize
4KB

Download
memory/2568-117-0x00000000055E0000-0x00000000055E1000-memory.dmp

Filesize
4KB

Download
memory/2568-118-0x00000000031B0000-0x00000000031BD000-memory.dmp

Filesize
52KB

Download
memory/2568-119-0x00000000031C0000-0x00000000031C8000-memory.dmp

Filesize
32KB

Download
memory/2568-120-0x00000000065F0000-0x00000000065F1000-memory.dmp

Filesize
4KB

Download
memory/2568-121-0x00000000057E0000-0x00000000057E1000-memory.dmp

Filesize
4KB

Download
memory/2568-123-0x00000000062D0000-0x00000000062D1000-memory.dmp

Filesize
4KB

Download
memory/2568-124-0x0000000006270000-0x0000000006271000-memory.dmp

Filesize
4KB

Download
memory/2568-125-0x00000000064C0000-0x00000000064C1000-memory.dmp

Filesize
4KB

Download
memory/2568-126-0x0000000006CF0000-0x0000000006CF1000-memory.dmp

Filesize
4KB

Download
memory/3992-122-0x0000000000000000-mapping.dmp

Download

Analysis

Sharing