bitrat | 39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e

General

Target

39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
Size

4.2MB
MD5

e1b09e61b51b90e7295e2e9ba28672a1
SHA1

439cdff507b3ea0a293b24041c7f8c9cd1903372
SHA256

39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e
SHA512

55031948d11b727f0fc98d0f3e1fd2c31a4a288d5656e7b2a4b56c8e7f3a5206f2abf829d77a258922c1828c311623094e1e67df5531b315e2f0075936e9520b

Score

10^/10

bitrat persistence trojan

Malware Config

Extracted

Family

bitrat

Version

1.38

C2

91.243.32.131:80

Attributes

communication_password
202cb962ac59075b964b07152d234b70
install_dir
Defenderzone
install_file
syspro.exe
tor_process
tor

Signatures

BitRAT
BitRAT is a remote access tool written in C++ and uses leaked source code from other families.
trojan bitrat

Adds Run key to start application 2 TTPs 9 IoCs

persistence

Registry Run Keys / Startup Folder

T1060

Modify Registry

T1112

Processes:

39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

description	ioc	process
Set value (str)	\REGISTRY\USER\S-1-5-21-2361464256-2201551969-2316606395-1000\Software\Microsoft\Windows\CurrentVersion\Run\syspro = "C:\\Users\\Admin\\AppData\\Local\\Defenderzone\\syspro.exe"	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2361464256-2201551969-2316606395-1000\Software\Microsoft\Windows\CurrentVersion\Run\syspro = "C:\\Users\\Admin\\AppData\\Local\\Defenderzone\\syspro.exeᴀ"	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2361464256-2201551969-2316606395-1000\Software\Microsoft\Windows\CurrentVersion\Run\syspro = "C:\\Users\\Admin\\AppData\\Local\\Defenderzone\\syspro.exe\uff00"	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2361464256-2201551969-2316606395-1000\Software\Microsoft\Windows\CurrentVersion\Run\syspro = "C:\\Users\\Admin\\AppData\\Local\\Defenderzone\\syspro.exe脀"	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2361464256-2201551969-2316606395-1000\Software\Microsoft\Windows\CurrentVersion\Run\syspro = "C:\\Users\\Admin\\AppData\\Local\\Defenderzone\\syspro.exe였"	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2361464256-2201551969-2316606395-1000\Software\Microsoft\Windows\CurrentVersion\Run\syspro = "C:\\Users\\Admin\\AppData\\Local\\Defenderzone\\syspro.exeĀ"	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2361464256-2201551969-2316606395-1000\Software\Microsoft\Windows\CurrentVersion\Run\syspro = "C:\\Users\\Admin\\AppData\\Local\\Defenderzone\\syspro.exeက"	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2361464256-2201551969-2316606395-1000\Software\Microsoft\Windows\CurrentVersion\Run\syspro = "C:\\Users\\Admin\\AppData\\Local\\Defenderzone\\syspro.exe䰀"	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2361464256-2201551969-2316606395-1000\Software\Microsoft\Windows\CurrentVersion\Run\syspro = "C:\\Users\\Admin\\AppData\\Local\\Defenderzone\\syspro.exe\u2000"	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

Suspicious use of NtSetInformationThreadHideFromDebugger 5 IoCs

Processes:

39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

pid	process
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

Processes:

39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

pid	process
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

Suspicious behavior: RenamesItself 29 IoCs

Processes:

39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

pid	process
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

Suspicious use of AdjustPrivilegeToken 1 IoCs

Processes:

39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

description pid process

Token: SeShutdownPrivilege 3068 39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

description	pid	process
Token: SeShutdownPrivilege	3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

Suspicious use of SetWindowsHookEx 2 IoCs

Processes:

39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

pid	process
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
3068	39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe

C:\Users\Admin\AppData\Local\Temp\39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe
"C:\Users\Admin\AppData\Local\Temp\39d4a8b10698989af35f338e05506318e949568582fbf613a54a28b559f28b2e.exe"
1⤵
- Adds Run key to start application
- Suspicious use of NtSetInformationThreadHideFromDebugger
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: RenamesItself
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of SetWindowsHookEx
PID:3068

Network

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Execution

Persistence

Registry Run Keys / Startup Folder

1

T1060

Privilege Escalation

Defense Evasion

Modify Registry

1

T1112

Credential Access

Discovery

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

memory/3068-115-0x0000000000400000-0x0000000000810000-memory.dmp

Filesize
4.1MB

Download
memory/3068-116-0x0000000000400000-0x0000000000810000-memory.dmp

Filesize
4.1MB

Download
memory/3068-117-0x00000000001E0000-0x00000000001E2000-memory.dmp

Filesize
8KB

Download
memory/3068-118-0x0000000000400000-0x0000000000810000-memory.dmp

Filesize
4.1MB

Download
memory/3068-119-0x0000000000400000-0x0000000000810000-memory.dmp

Filesize
4.1MB

Download
memory/3068-120-0x0000000000401000-0x00000000006E0000-memory.dmp

Filesize
2.9MB

Download
memory/3068-121-0x00000000759E0000-0x0000000075BA2000-memory.dmp

Filesize
1.8MB

Download
memory/3068-122-0x0000000000401000-0x00000000006E0000-memory.dmp

Filesize
2.9MB

Download
memory/3068-123-0x00000000025D0000-0x0000000002616000-memory.dmp

Filesize
280KB

Download
memory/3068-124-0x0000000000401000-0x00000000006E0000-memory.dmp

Filesize
2.9MB

Download
memory/3068-125-0x0000000074070000-0x0000000074161000-memory.dmp

Filesize
964KB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v6

Replay Monitor

Loading Replay Monitor...

Downloads