7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040

Analysis

max time kernel
186s
max time network
189s
platform
windows7_x64
resource
win7-20220812-en
resource tags

arch:x64arch:x86image:win7-20220812-enlocale:en-usos:windows7-x64system
submitted
04/12/2022, 07:25

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe
Size

212KB
MD5

41366928a4e85c596531fb47320ba766
SHA1

0a11dbb6a0f046eeddd8baefae735d4eb1ca5d86
SHA256

7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040
SHA512

2db0c8b8e24409e1cf2b03fcd5cd52c8cdb0bd5b16e985a81adb52eb9aff00cbc0d2e0cf31782dd7502cba09ab6f189eed536d6851685413758da33881f3001f
SSDEEP

6144:6aAKwwPficzY09umHh7K5cUXEBwrYVHhAgY61cD:VAbyfxY09umH45cUXEBwUVHhAgY61U

Score

10^/10

evasion persistence

Malware Config

Signatures

Modifies visiblity of hidden/system files in Explorer 2 TTPs 2 IoCs

evasion

Hidden Files and Directories

T1158

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	suogod.exe

Executes dropped EXE 1 IoCs

pid	Process
1216	suogod.exe

Loads dropped DLL 2 IoCs

pid	Process
968	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe
968	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe

Adds Run key to start application 2 TTPs 58 IoCs

persistence

Registry Run Keys / Startup Folder

T1060

Modify Registry

T1112

description	ioc	Process
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /u"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /p"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /t"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /v"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /b"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /j"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /m"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /k"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /o"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /y"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /t"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /q"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /v"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /p"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /z"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /i"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /g"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /f"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /c"	suogod.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /r"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /c"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /w"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /s"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /u"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /t"	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /h"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /k"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /m"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /o"	suogod.exe
Key created	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /e"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /b"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /l"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /w"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /d"	suogod.exe
Key created	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /n"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /a"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /z"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /x"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /h"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /q"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /s"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /e"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /n"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /j"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /l"	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /l"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /g"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /a"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /y"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /f"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /x"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /d"	suogod.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /r"	suogod.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\suogod = "C:\\Users\\Admin\\suogod.exe /i"	suogod.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
968	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe
1216	suogod.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
1216	suogod.exe

Suspicious use of SetWindowsHookEx 2 IoCs

pid	Process
968	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe
1216	suogod.exe

Suspicious use of WriteProcessMemory 4 IoCs

description	pid	Process	procid_target
PID 968 wrote to memory of 1216	968	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe	27
PID 968 wrote to memory of 1216	968	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe	27
PID 968 wrote to memory of 1216	968	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe	27
PID 968 wrote to memory of 1216	968	7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe	27

C:\Users\Admin\AppData\Local\Temp\7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe
"C:\Users\Admin\AppData\Local\Temp\7c28b859d5d94573e40ca43cd2e09f8cbdbc7779362b7d4affabfec11bdb7040.exe"
1⤵
- Modifies visiblity of hidden/system files in Explorer
- Loads dropped DLL
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:968
- C:\Users\Admin\suogod.exe
  "C:\Users\Admin\suogod.exe"
  2⤵
  - Modifies visiblity of hidden/system files in Explorer
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious behavior: GetForegroundWindowSpam
  - Suspicious use of SetWindowsHookEx
  PID:1216

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Hidden Files and Directories

T1158

Registry Run Keys / Startup Folder

T1060

Privilege Escalation

Defense Evasion

Hidden Files and Directories

T1158

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\suogod.exe

Filesize
212KB

MD5
23e9ab4d5756e36f5c63d638c322c2f2

SHA1
d4eb2f9ca8edf4f02a75cd7ab3ae9bffc5eb670d

SHA256
fdf2c13c244a390f6fb961fbb791fe61bf8d79ff7f7be67ee14ff9585232bed8

SHA512
4fac2bb4c4638b1812f10309c17e97d448c79dee45ab6f9374e40ff4cee0ad58df693146ce7664327ddeb6cf683aec33e9137311e1c3e02fbd8f70d230fb36a0

Download Submit
C:\Users\Admin\suogod.exe

Filesize
212KB

MD5
23e9ab4d5756e36f5c63d638c322c2f2

SHA1
d4eb2f9ca8edf4f02a75cd7ab3ae9bffc5eb670d

SHA256
fdf2c13c244a390f6fb961fbb791fe61bf8d79ff7f7be67ee14ff9585232bed8

SHA512
4fac2bb4c4638b1812f10309c17e97d448c79dee45ab6f9374e40ff4cee0ad58df693146ce7664327ddeb6cf683aec33e9137311e1c3e02fbd8f70d230fb36a0

Download Submit
\Users\Admin\suogod.exe

Filesize
212KB

MD5
23e9ab4d5756e36f5c63d638c322c2f2

SHA1
d4eb2f9ca8edf4f02a75cd7ab3ae9bffc5eb670d

SHA256
fdf2c13c244a390f6fb961fbb791fe61bf8d79ff7f7be67ee14ff9585232bed8

SHA512
4fac2bb4c4638b1812f10309c17e97d448c79dee45ab6f9374e40ff4cee0ad58df693146ce7664327ddeb6cf683aec33e9137311e1c3e02fbd8f70d230fb36a0

Download Submit
\Users\Admin\suogod.exe

Filesize
212KB

MD5
23e9ab4d5756e36f5c63d638c322c2f2

SHA1
d4eb2f9ca8edf4f02a75cd7ab3ae9bffc5eb670d

SHA256
fdf2c13c244a390f6fb961fbb791fe61bf8d79ff7f7be67ee14ff9585232bed8

SHA512
4fac2bb4c4638b1812f10309c17e97d448c79dee45ab6f9374e40ff4cee0ad58df693146ce7664327ddeb6cf683aec33e9137311e1c3e02fbd8f70d230fb36a0

Download Submit
memory/968-56-0x0000000075771000-0x0000000075773000-memory.dmp

Filesize
8KB

Download