Analysis
-
max time kernel
156s -
max time network
194s -
platform
windows7_x64 -
resource
win7v20210408 -
submitted
13-10-2021 15:05
Behavioral task
behavioral1
Sample
afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exe
Resource
win7v20210408
General
-
Target
afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exe
-
Size
28KB
-
MD5
dd92bc172ce822c6ce679dec7e7176cb
-
SHA1
deae3ad3cc81833c3008bb475ae4c355d750b3e7
-
SHA256
afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285
-
SHA512
007e8736c4ad2061f804183154c7e0da7c4f3b958281a1c67bba71684a06ace998f08fa5279120adfdf0ca781aeefa51d366619c076ef869b6830b0bba78627b
Malware Config
Extracted
njrat
0.6.4
HacKed
abcdefg434334.zapto.org:80
f5e4f66c2c5505e6ad7b0b5bee0f0a9a
-
reg_key
f5e4f66c2c5505e6ad7b0b5bee0f0a9a
-
splitter
|'|'|
Signatures
-
suricata: ET MALWARE Bladabindi/njrat CnC Checkin
suricata: ET MALWARE Bladabindi/njrat CnC Checkin
-
Executes dropped EXE 1 IoCs
Processes:
Trojan111115555555511111.exepid process 2020 Trojan111115555555511111.exe -
Modifies Windows Firewall 1 TTPs
-
Loads dropped DLL 2 IoCs
Processes:
afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exepid process 1832 afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exe 1832 afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exe -
Adds Run key to start application 2 TTPs 2 IoCs
Processes:
Trojan111115555555511111.exedescription ioc process Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\f5e4f66c2c5505e6ad7b0b5bee0f0a9a = "\"C:\\Users\\Admin\\AppData\\Local\\Temp\\Trojan111115555555511111.exe\" .." Trojan111115555555511111.exe Set value (str) \REGISTRY\USER\S-1-5-21-2455352368-1077083310-2879168483-1000\Software\Microsoft\Windows\CurrentVersion\Run\f5e4f66c2c5505e6ad7b0b5bee0f0a9a = "\"C:\\Users\\Admin\\AppData\\Local\\Temp\\Trojan111115555555511111.exe\" .." Trojan111115555555511111.exe -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Suspicious behavior: EnumeratesProcesses 64 IoCs
Processes:
Trojan111115555555511111.exepid process 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe 2020 Trojan111115555555511111.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes:
Trojan111115555555511111.exedescription pid process Token: SeDebugPrivilege 2020 Trojan111115555555511111.exe -
Suspicious use of WriteProcessMemory 8 IoCs
Processes:
afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exeTrojan111115555555511111.exedescription pid process target process PID 1832 wrote to memory of 2020 1832 afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exe Trojan111115555555511111.exe PID 1832 wrote to memory of 2020 1832 afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exe Trojan111115555555511111.exe PID 1832 wrote to memory of 2020 1832 afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exe Trojan111115555555511111.exe PID 1832 wrote to memory of 2020 1832 afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exe Trojan111115555555511111.exe PID 2020 wrote to memory of 1736 2020 Trojan111115555555511111.exe netsh.exe PID 2020 wrote to memory of 1736 2020 Trojan111115555555511111.exe netsh.exe PID 2020 wrote to memory of 1736 2020 Trojan111115555555511111.exe netsh.exe PID 2020 wrote to memory of 1736 2020 Trojan111115555555511111.exe netsh.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exe"C:\Users\Admin\AppData\Local\Temp\afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285.bin.exe"1⤵
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\Trojan111115555555511111.exe"C:\Users\Admin\AppData\Local\Temp\Trojan111115555555511111.exe"2⤵
- Executes dropped EXE
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\netsh.exenetsh firewall add allowedprogram "C:\Users\Admin\AppData\Local\Temp\Trojan111115555555511111.exe" "Trojan111115555555511111.exe" ENABLE3⤵
Network
MITRE ATT&CK Matrix ATT&CK v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
C:\Users\Admin\AppData\Local\Temp\Trojan111115555555511111.exeMD5
dd92bc172ce822c6ce679dec7e7176cb
SHA1deae3ad3cc81833c3008bb475ae4c355d750b3e7
SHA256afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285
SHA512007e8736c4ad2061f804183154c7e0da7c4f3b958281a1c67bba71684a06ace998f08fa5279120adfdf0ca781aeefa51d366619c076ef869b6830b0bba78627b
-
C:\Users\Admin\AppData\Local\Temp\Trojan111115555555511111.exeMD5
dd92bc172ce822c6ce679dec7e7176cb
SHA1deae3ad3cc81833c3008bb475ae4c355d750b3e7
SHA256afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285
SHA512007e8736c4ad2061f804183154c7e0da7c4f3b958281a1c67bba71684a06ace998f08fa5279120adfdf0ca781aeefa51d366619c076ef869b6830b0bba78627b
-
\Users\Admin\AppData\Local\Temp\Trojan111115555555511111.exeMD5
dd92bc172ce822c6ce679dec7e7176cb
SHA1deae3ad3cc81833c3008bb475ae4c355d750b3e7
SHA256afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285
SHA512007e8736c4ad2061f804183154c7e0da7c4f3b958281a1c67bba71684a06ace998f08fa5279120adfdf0ca781aeefa51d366619c076ef869b6830b0bba78627b
-
\Users\Admin\AppData\Local\Temp\Trojan111115555555511111.exeMD5
dd92bc172ce822c6ce679dec7e7176cb
SHA1deae3ad3cc81833c3008bb475ae4c355d750b3e7
SHA256afaef621f4e840cc036ae85f16c580b6161299f13f3501e2851a3ec633085285
SHA512007e8736c4ad2061f804183154c7e0da7c4f3b958281a1c67bba71684a06ace998f08fa5279120adfdf0ca781aeefa51d366619c076ef869b6830b0bba78627b
-
memory/1736-68-0x0000000000000000-mapping.dmp
-
memory/1832-60-0x0000000075801000-0x0000000075803000-memory.dmpFilesize
8KB
-
memory/1832-61-0x0000000000350000-0x0000000000351000-memory.dmpFilesize
4KB
-
memory/2020-64-0x0000000000000000-mapping.dmp
-
memory/2020-69-0x0000000000570000-0x0000000000571000-memory.dmpFilesize
4KB
-
memory/2020-71-0x0000000000575000-0x0000000000586000-memory.dmpFilesize
68KB