Analysis

  • max time kernel
    147s
  • max time network
    156s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20220414-en
  • submitted
    24-05-2022 03:15

General

  • Target

    025f3da46d16a6a0179a27b0f26d082e29358254a22e6af887b03106e9e9048c.exe

  • Size

    3.8MB

  • MD5

    e2bcfb552fd8fdb88da751306f4bea2a

  • SHA1

    b99331f2858f7ee67ea907419c0769fe2279b672

  • SHA256

    025f3da46d16a6a0179a27b0f26d082e29358254a22e6af887b03106e9e9048c

  • SHA512

    31746515c1278da7a61e6d3a189eb42415265d6d5b364773bd3abd6284d5d7782792c1a357c20e18aca1820db17ea160eec9fa406c2f1019c322de390f262767

Malware Config

Signatures

  • Glupteba

    Glupteba is a modular loader written in Golang with various components.

  • Glupteba Payload 4 IoCs
  • Suspicious use of NtCreateUserProcessOtherParentProcess 1 IoCs
  • Executes dropped EXE 1 IoCs
  • Modifies Windows Firewall 1 TTPs
  • Adds Run key to start application 2 TTPs 1 IoCs
  • Drops file in Windows directory 2 IoCs
  • Program crash 64 IoCs
  • Modifies data under HKEY_USERS 64 IoCs
  • Suspicious behavior: EnumeratesProcesses 18 IoCs
  • Suspicious use of AdjustPrivilegeToken 4 IoCs
  • Suspicious use of WriteProcessMemory 14 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\025f3da46d16a6a0179a27b0f26d082e29358254a22e6af887b03106e9e9048c.exe
    "C:\Users\Admin\AppData\Local\Temp\025f3da46d16a6a0179a27b0f26d082e29358254a22e6af887b03106e9e9048c.exe"
    1⤵
    • Suspicious behavior: EnumeratesProcesses
    • Suspicious use of AdjustPrivilegeToken
    PID:956
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 328
      2⤵
      • Program crash
      PID:2624
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 332
      2⤵
      • Program crash
      PID:1072
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 332
      2⤵
      • Program crash
      PID:4368
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 600
      2⤵
      • Program crash
      PID:4860
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 700
      2⤵
      • Program crash
      PID:2884
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 720
      2⤵
      • Program crash
      PID:5112
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 720
      2⤵
      • Program crash
      PID:2336
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 736
      2⤵
      • Program crash
      PID:1432
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 760
      2⤵
      • Program crash
      PID:2268
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 744
      2⤵
      • Program crash
      PID:204
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 824
      2⤵
      • Program crash
      PID:4988
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 832
      2⤵
      • Program crash
      PID:3880
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 852
      2⤵
      • Program crash
      PID:3268
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 848
      2⤵
      • Program crash
      PID:3676
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 784
      2⤵
      • Program crash
      PID:2824
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 852
      2⤵
      • Program crash
      PID:2444
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 784
      2⤵
      • Program crash
      PID:3424
    • C:\Users\Admin\AppData\Local\Temp\025f3da46d16a6a0179a27b0f26d082e29358254a22e6af887b03106e9e9048c.exe
      "C:\Users\Admin\AppData\Local\Temp\025f3da46d16a6a0179a27b0f26d082e29358254a22e6af887b03106e9e9048c.exe"
      2⤵
      • Adds Run key to start application
      • Drops file in Windows directory
      • Modifies data under HKEY_USERS
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of WriteProcessMemory
      PID:4508
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 300
        3⤵
        • Program crash
        PID:3280
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 304
        3⤵
        • Program crash
        PID:4708
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 304
        3⤵
        • Program crash
        PID:2124
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 532
        3⤵
        • Program crash
        PID:4788
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 756
        3⤵
        • Program crash
        PID:4476
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 756
        3⤵
        • Program crash
        PID:928
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 756
        3⤵
        • Program crash
        PID:1088
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 756
        3⤵
        • Program crash
        PID:3456
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 820
        3⤵
        • Program crash
        PID:1124
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 844
        3⤵
        • Program crash
        PID:3648
      • C:\Windows\system32\cmd.exe
        C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" enable=yes"
        3⤵
        • Suspicious use of WriteProcessMemory
        PID:1656
        • C:\Windows\system32\netsh.exe
          netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" enable=yes
          4⤵
            PID:4136
        • C:\Windows\system32\cmd.exe
          C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"
          3⤵
          • Suspicious use of WriteProcessMemory
          PID:5048
          • C:\Windows\system32\netsh.exe
            netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes
            4⤵
              PID:2220
          • C:\Windows\rss\csrss.exe
            C:\Windows\rss\csrss.exe ""
            3⤵
            • Executes dropped EXE
            • Suspicious behavior: EnumeratesProcesses
            PID:4664
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 220
              4⤵
              • Program crash
              PID:3920
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 356
              4⤵
              • Program crash
              PID:3716
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 340
              4⤵
              • Program crash
              PID:1152
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 772
              4⤵
              • Program crash
              PID:4084
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 772
              4⤵
              • Program crash
              PID:4332
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 772
              4⤵
              • Program crash
              PID:4640
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 844
              4⤵
              • Program crash
              PID:2756
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 852
              4⤵
              • Program crash
              PID:4092
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 860
              4⤵
              • Program crash
              PID:3212
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 856
              4⤵
              • Program crash
              PID:1308
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 860
              4⤵
              • Program crash
              PID:3020
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 984
              4⤵
              • Program crash
              PID:112
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 840
              4⤵
              • Program crash
              PID:1532
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 752
              4⤵
              • Program crash
              PID:3880
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1020
              4⤵
              • Program crash
              PID:3268
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 832
              4⤵
              • Program crash
              PID:2776
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 816
              4⤵
              • Program crash
              PID:2216
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 884
              4⤵
              • Program crash
              PID:4404
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 956
              4⤵
              • Program crash
              PID:1760
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 716
              4⤵
              • Program crash
              PID:956
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 968
              4⤵
              • Program crash
              PID:4112
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1056
              4⤵
              • Program crash
              PID:4056
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 984
              4⤵
              • Program crash
              PID:912
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1044
              4⤵
              • Program crash
              PID:1536
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 892
              4⤵
              • Program crash
              PID:2308
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1064
              4⤵
              • Program crash
              PID:968
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1056
              4⤵
              • Program crash
              PID:4708
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1136
              4⤵
              • Program crash
              PID:884
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1172
              4⤵
              • Program crash
              PID:3008
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1196
              4⤵
              • Program crash
              PID:4584
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1200
              4⤵
              • Program crash
              PID:4632
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1212
              4⤵
              • Program crash
              PID:1320
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1056
              4⤵
              • Program crash
              PID:4944
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1032
              4⤵
              • Program crash
              PID:1200
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1220
              4⤵
              • Program crash
              PID:1124
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1092
              4⤵
              • Program crash
              PID:3500
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1076
              4⤵
              • Program crash
              PID:3648
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1052
              4⤵
                PID:1188
              • C:\Windows\SysWOW64\WerFault.exe
                C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1224
                4⤵
                  PID:972
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1136
                  4⤵
                    PID:1792
                  • C:\Windows\SysWOW64\WerFault.exe
                    C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 828
                    4⤵
                      PID:3460
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1052
                      4⤵
                        PID:4592
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1188
                        4⤵
                          PID:3972
                        • C:\Windows\SysWOW64\WerFault.exe
                          C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1188
                          4⤵
                            PID:704
                          • C:\Windows\SysWOW64\WerFault.exe
                            C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1076
                            4⤵
                              PID:4824
                            • C:\Windows\SysWOW64\WerFault.exe
                              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1260
                              4⤵
                                PID:4868
                              • C:\Windows\SysWOW64\WerFault.exe
                                C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1068
                                4⤵
                                  PID:3032
                                • C:\Windows\SysWOW64\WerFault.exe
                                  C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1168
                                  4⤵
                                    PID:4808
                                  • C:\Windows\SysWOW64\WerFault.exe
                                    C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 708
                                    4⤵
                                      PID:3916
                                    • C:\Windows\SysWOW64\WerFault.exe
                                      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1240
                                      4⤵
                                        PID:3716
                                      • C:\Windows\SysWOW64\WerFault.exe
                                        C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1100
                                        4⤵
                                          PID:1152
                                        • C:\Windows\SysWOW64\WerFault.exe
                                          C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1092
                                          4⤵
                                            PID:1796
                                          • C:\Windows\SysWOW64\WerFault.exe
                                            C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1192
                                            4⤵
                                              PID:4640
                                            • C:\Windows\SysWOW64\WerFault.exe
                                              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1124
                                              4⤵
                                                PID:2176
                                              • C:\Windows\SysWOW64\WerFault.exe
                                                C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1056
                                                4⤵
                                                  PID:3304
                                                • C:\Windows\SysWOW64\WerFault.exe
                                                  C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1092
                                                  4⤵
                                                    PID:2420
                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                    C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1136
                                                    4⤵
                                                      PID:1452
                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1168
                                                      4⤵
                                                        PID:112
                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                        C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1264
                                                        4⤵
                                                          PID:1872
                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                          C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1264
                                                          4⤵
                                                            PID:4548
                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                            C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 828
                                                            4⤵
                                                              PID:2680
                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                              C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1092
                                                              4⤵
                                                                PID:2824
                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 708
                                                                4⤵
                                                                  PID:2216
                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                  C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1076
                                                                  4⤵
                                                                    PID:4604
                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                    C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1272
                                                                    4⤵
                                                                      PID:1760
                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1092
                                                                      4⤵
                                                                        PID:1876
                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                        C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1164
                                                                        4⤵
                                                                          PID:1920
                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                          C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1240
                                                                          4⤵
                                                                            PID:3104
                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                            C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1196
                                                                            4⤵
                                                                              PID:1488
                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 956 -ip 956
                                                                        1⤵
                                                                          PID:3952
                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 956 -ip 956
                                                                          1⤵
                                                                            PID:4156
                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 956 -ip 956
                                                                            1⤵
                                                                              PID:1796
                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 956 -ip 956
                                                                              1⤵
                                                                                PID:4760
                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 956 -ip 956
                                                                                1⤵
                                                                                  PID:1288
                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 956 -ip 956
                                                                                  1⤵
                                                                                    PID:5088
                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 956 -ip 956
                                                                                    1⤵
                                                                                      PID:3212
                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 956 -ip 956
                                                                                      1⤵
                                                                                        PID:2724
                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 956 -ip 956
                                                                                        1⤵
                                                                                          PID:4936
                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 956 -ip 956
                                                                                          1⤵
                                                                                            PID:5004
                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 956 -ip 956
                                                                                            1⤵
                                                                                              PID:1900
                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 956 -ip 956
                                                                                              1⤵
                                                                                                PID:2188
                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 956 -ip 956
                                                                                                1⤵
                                                                                                  PID:3736
                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 956 -ip 956
                                                                                                  1⤵
                                                                                                    PID:1276
                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 956 -ip 956
                                                                                                    1⤵
                                                                                                      PID:3388
                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 956 -ip 956
                                                                                                      1⤵
                                                                                                        PID:3472
                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 956 -ip 956
                                                                                                        1⤵
                                                                                                          PID:4328
                                                                                                        • C:\Windows\system32\svchost.exe
                                                                                                          C:\Windows\system32\svchost.exe -k netsvcs -p -s seclogon
                                                                                                          1⤵
                                                                                                          • Suspicious use of NtCreateUserProcessOtherParentProcess
                                                                                                          • Suspicious use of AdjustPrivilegeToken
                                                                                                          • Suspicious use of WriteProcessMemory
                                                                                                          PID:1980
                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4508 -ip 4508
                                                                                                          1⤵
                                                                                                            PID:2320
                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4508 -ip 4508
                                                                                                            1⤵
                                                                                                              PID:4176
                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 4508 -ip 4508
                                                                                                              1⤵
                                                                                                                PID:4832
                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 4508 -ip 4508
                                                                                                                1⤵
                                                                                                                  PID:1832
                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4508 -ip 4508
                                                                                                                  1⤵
                                                                                                                    PID:4132
                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 4508 -ip 4508
                                                                                                                    1⤵
                                                                                                                      PID:2728
                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 4508 -ip 4508
                                                                                                                      1⤵
                                                                                                                        PID:1232
                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4508 -ip 4508
                                                                                                                        1⤵
                                                                                                                          PID:4956
                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 4508 -ip 4508
                                                                                                                          1⤵
                                                                                                                            PID:1060
                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4508 -ip 4508
                                                                                                                            1⤵
                                                                                                                              PID:4200
                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4664 -ip 4664
                                                                                                                              1⤵
                                                                                                                                PID:2272
                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4664 -ip 4664
                                                                                                                                1⤵
                                                                                                                                  PID:2452
                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 4664 -ip 4664
                                                                                                                                  1⤵
                                                                                                                                    PID:4924
                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4664 -ip 4664
                                                                                                                                    1⤵
                                                                                                                                      PID:752
                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4664 -ip 4664
                                                                                                                                      1⤵
                                                                                                                                        PID:2660
                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4664 -ip 4664
                                                                                                                                        1⤵
                                                                                                                                          PID:4984
                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4664 -ip 4664
                                                                                                                                          1⤵
                                                                                                                                            PID:3136
                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 4664 -ip 4664
                                                                                                                                            1⤵
                                                                                                                                              PID:3996
                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4664 -ip 4664
                                                                                                                                              1⤵
                                                                                                                                                PID:5112
                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 4664 -ip 4664
                                                                                                                                                1⤵
                                                                                                                                                  PID:1412
                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 4664 -ip 4664
                                                                                                                                                  1⤵
                                                                                                                                                    PID:2640
                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 4664 -ip 4664
                                                                                                                                                    1⤵
                                                                                                                                                      PID:176
                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 4664 -ip 4664
                                                                                                                                                      1⤵
                                                                                                                                                        PID:204
                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 4664 -ip 4664
                                                                                                                                                        1⤵
                                                                                                                                                          PID:4572
                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 4664 -ip 4664
                                                                                                                                                          1⤵
                                                                                                                                                            PID:3736
                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 4664 -ip 4664
                                                                                                                                                            1⤵
                                                                                                                                                              PID:2820
                                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4664 -ip 4664
                                                                                                                                                              1⤵
                                                                                                                                                                PID:3080
                                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 4664 -ip 4664
                                                                                                                                                                1⤵
                                                                                                                                                                  PID:1264
                                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 4664 -ip 4664
                                                                                                                                                                  1⤵
                                                                                                                                                                    PID:4468
                                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4664 -ip 4664
                                                                                                                                                                    1⤵
                                                                                                                                                                      PID:3772
                                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4664 -ip 4664
                                                                                                                                                                      1⤵
                                                                                                                                                                        PID:4736
                                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4664 -ip 4664
                                                                                                                                                                        1⤵
                                                                                                                                                                          PID:1808
                                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4664 -ip 4664
                                                                                                                                                                          1⤵
                                                                                                                                                                            PID:3852
                                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4664 -ip 4664
                                                                                                                                                                            1⤵
                                                                                                                                                                              PID:2448
                                                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4664 -ip 4664
                                                                                                                                                                              1⤵
                                                                                                                                                                                PID:4840
                                                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 4664 -ip 4664
                                                                                                                                                                                1⤵
                                                                                                                                                                                  PID:2184
                                                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4664 -ip 4664
                                                                                                                                                                                  1⤵
                                                                                                                                                                                    PID:4176
                                                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 4664 -ip 4664
                                                                                                                                                                                    1⤵
                                                                                                                                                                                      PID:4344
                                                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 4664 -ip 4664
                                                                                                                                                                                      1⤵
                                                                                                                                                                                        PID:1384
                                                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 4664 -ip 4664
                                                                                                                                                                                        1⤵
                                                                                                                                                                                          PID:4908
                                                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4664 -ip 4664
                                                                                                                                                                                          1⤵
                                                                                                                                                                                            PID:4512
                                                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4664 -ip 4664
                                                                                                                                                                                            1⤵
                                                                                                                                                                                              PID:1784
                                                                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4664 -ip 4664
                                                                                                                                                                                              1⤵
                                                                                                                                                                                                PID:924
                                                                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 4664 -ip 4664
                                                                                                                                                                                                1⤵
                                                                                                                                                                                                  PID:4960
                                                                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4664 -ip 4664
                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                    PID:1060
                                                                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4664 -ip 4664
                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                      PID:3944
                                                                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 4664 -ip 4664
                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                        PID:3496
                                                                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4664 -ip 4664
                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                          PID:2348
                                                                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4664 -ip 4664
                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                            PID:1460
                                                                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4664 -ip 4664
                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                              PID:3488
                                                                                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4664 -ip 4664
                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                PID:3056
                                                                                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4664 -ip 4664
                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                  PID:1688
                                                                                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4664 -ip 4664
                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                    PID:4308
                                                                                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4664 -ip 4664
                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                      PID:388
                                                                                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4664 -ip 4664
                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                        PID:3956
                                                                                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 4664 -ip 4664
                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                          PID:3040
                                                                                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 4664 -ip 4664
                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                            PID:4964
                                                                                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 4664 -ip 4664
                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                              PID:5012
                                                                                                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 4664 -ip 4664
                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                PID:1468
                                                                                                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 4664 -ip 4664
                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                  PID:2452
                                                                                                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4664 -ip 4664
                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                    PID:4924
                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4664 -ip 4664
                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                      PID:4772
                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4664 -ip 4664
                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                        PID:4984
                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4664 -ip 4664
                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                          PID:3136
                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4664 -ip 4664
                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                            PID:3996
                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4664 -ip 4664
                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                              PID:4800
                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4664 -ip 4664
                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                PID:4188
                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4664 -ip 4664
                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                  PID:176
                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 4664 -ip 4664
                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                    PID:2472
                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4664 -ip 4664
                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                      PID:3732
                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 4664 -ip 4664
                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                        PID:3168
                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 4664 -ip 4664
                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                          PID:3388
                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 4664 -ip 4664
                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                            PID:4324
                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 4664 -ip 4664
                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                              PID:1676
                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 4664 -ip 4664
                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                PID:2748
                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4664 -ip 4664
                                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                                  PID:3772
                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 4664 -ip 4664
                                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                                    PID:2392
                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 4664 -ip 4664
                                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                                      PID:1712
                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4664 -ip 4664
                                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                                        PID:4740

                                                                                                                                                                                                                                                                      Network

                                                                                                                                                                                                                                                                      MITRE ATT&CK Matrix ATT&CK v6

                                                                                                                                                                                                                                                                      Persistence

                                                                                                                                                                                                                                                                      Modify Existing Service

                                                                                                                                                                                                                                                                      1
                                                                                                                                                                                                                                                                      T1031

                                                                                                                                                                                                                                                                      Registry Run Keys / Startup Folder

                                                                                                                                                                                                                                                                      1
                                                                                                                                                                                                                                                                      T1060

                                                                                                                                                                                                                                                                      Defense Evasion

                                                                                                                                                                                                                                                                      Modify Registry

                                                                                                                                                                                                                                                                      1
                                                                                                                                                                                                                                                                      T1112

                                                                                                                                                                                                                                                                      Replay Monitor

                                                                                                                                                                                                                                                                      Loading Replay Monitor...

                                                                                                                                                                                                                                                                      Downloads

                                                                                                                                                                                                                                                                      • C:\Windows\rss\csrss.exe
                                                                                                                                                                                                                                                                        Filesize

                                                                                                                                                                                                                                                                        3.8MB

                                                                                                                                                                                                                                                                        MD5

                                                                                                                                                                                                                                                                        e2bcfb552fd8fdb88da751306f4bea2a

                                                                                                                                                                                                                                                                        SHA1

                                                                                                                                                                                                                                                                        b99331f2858f7ee67ea907419c0769fe2279b672

                                                                                                                                                                                                                                                                        SHA256

                                                                                                                                                                                                                                                                        025f3da46d16a6a0179a27b0f26d082e29358254a22e6af887b03106e9e9048c

                                                                                                                                                                                                                                                                        SHA512

                                                                                                                                                                                                                                                                        31746515c1278da7a61e6d3a189eb42415265d6d5b364773bd3abd6284d5d7782792c1a357c20e18aca1820db17ea160eec9fa406c2f1019c322de390f262767

                                                                                                                                                                                                                                                                      • C:\Windows\rss\csrss.exe
                                                                                                                                                                                                                                                                        Filesize

                                                                                                                                                                                                                                                                        3.8MB

                                                                                                                                                                                                                                                                        MD5

                                                                                                                                                                                                                                                                        e2bcfb552fd8fdb88da751306f4bea2a

                                                                                                                                                                                                                                                                        SHA1

                                                                                                                                                                                                                                                                        b99331f2858f7ee67ea907419c0769fe2279b672

                                                                                                                                                                                                                                                                        SHA256

                                                                                                                                                                                                                                                                        025f3da46d16a6a0179a27b0f26d082e29358254a22e6af887b03106e9e9048c

                                                                                                                                                                                                                                                                        SHA512

                                                                                                                                                                                                                                                                        31746515c1278da7a61e6d3a189eb42415265d6d5b364773bd3abd6284d5d7782792c1a357c20e18aca1820db17ea160eec9fa406c2f1019c322de390f262767

                                                                                                                                                                                                                                                                      • memory/956-131-0x00000000040D0000-0x00000000047BF000-memory.dmp
                                                                                                                                                                                                                                                                        Filesize

                                                                                                                                                                                                                                                                        6.9MB

                                                                                                                                                                                                                                                                      • memory/956-132-0x0000000000400000-0x0000000003A72000-memory.dmp
                                                                                                                                                                                                                                                                        Filesize

                                                                                                                                                                                                                                                                        54.4MB

                                                                                                                                                                                                                                                                      • memory/956-130-0x0000000003D2A000-0x00000000040CE000-memory.dmp
                                                                                                                                                                                                                                                                        Filesize

                                                                                                                                                                                                                                                                        3.6MB

                                                                                                                                                                                                                                                                      • memory/1656-136-0x0000000000000000-mapping.dmp
                                                                                                                                                                                                                                                                      • memory/2220-139-0x0000000000000000-mapping.dmp
                                                                                                                                                                                                                                                                      • memory/4136-137-0x0000000000000000-mapping.dmp
                                                                                                                                                                                                                                                                      • memory/4508-135-0x0000000000400000-0x0000000003A72000-memory.dmp
                                                                                                                                                                                                                                                                        Filesize

                                                                                                                                                                                                                                                                        54.4MB

                                                                                                                                                                                                                                                                      • memory/4508-134-0x0000000003D37000-0x00000000040DB000-memory.dmp
                                                                                                                                                                                                                                                                        Filesize

                                                                                                                                                                                                                                                                        3.6MB

                                                                                                                                                                                                                                                                      • memory/4508-133-0x0000000000000000-mapping.dmp
                                                                                                                                                                                                                                                                      • memory/4664-140-0x0000000000000000-mapping.dmp
                                                                                                                                                                                                                                                                      • memory/4664-143-0x0000000004000000-0x00000000043A4000-memory.dmp
                                                                                                                                                                                                                                                                        Filesize

                                                                                                                                                                                                                                                                        3.6MB

                                                                                                                                                                                                                                                                      • memory/4664-144-0x0000000000400000-0x0000000003A72000-memory.dmp
                                                                                                                                                                                                                                                                        Filesize

                                                                                                                                                                                                                                                                        54.4MB

                                                                                                                                                                                                                                                                      • memory/5048-138-0x0000000000000000-mapping.dmp