bitrat | 6248ca77e095fba357308535038777b0e555c085dfa828a6f16faac4d818a7a3

Analysis

max time kernel
102s
max time network
158s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
28-12-2023 19:10

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

f16151d0d1ea959552d2fe8a724b0dc5.exe
Size

5.0MB
MD5

f16151d0d1ea959552d2fe8a724b0dc5
SHA1

d71382495ec36153ce86cb0e94755d283fbe53e6
SHA256

6248ca77e095fba357308535038777b0e555c085dfa828a6f16faac4d818a7a3
SHA512

3f9b550ed515a5e0f3f99f2235bef39d1a8332496b1e37cdf107c1ab4d54875c8a6142d3a5c277c504328b04821cd8d46608e0c2c977a4c256e1530f20096e57
SSDEEP

98304:viS/sRZddY2EGcHg/InwJtNELakTwPAALRuPa6o0h7:vxkZdCvGwbaYTas5o09

Score

10^/10

bitrat trojan

Malware Config

Extracted

Family

bitrat

Version

1.38

elevenpaths.cc:420

Attributes

communication_password
e48e13207341b6bffb7fb1622282247b
tor_process
tor

Signatures

BitRAT
BitRAT is a remote access tool written in C++ and uses leaked source code from other families.
trojan bitrat

Suspicious use of NtSetInformationThreadHideFromDebugger 4 IoCs

pid	Process
1548	f16151d0d1ea959552d2fe8a724b0dc5.exe
1548	f16151d0d1ea959552d2fe8a724b0dc5.exe
1548	f16151d0d1ea959552d2fe8a724b0dc5.exe
1548	f16151d0d1ea959552d2fe8a724b0dc5.exe

Program crash 34 IoCs

pid	pid_target	Process	procid_target
2128	1548	WerFault.exe	86
4912	1548	WerFault.exe	86
3340	1548	WerFault.exe	86
3996	1548	WerFault.exe	86
3396	1548	WerFault.exe	86
1004	1548	WerFault.exe	86
4780	1548	WerFault.exe	86
3160	1548	WerFault.exe	86
4884	1548	WerFault.exe	86
4592	1548	WerFault.exe	86
4188	1548	WerFault.exe	86
2108	1548	WerFault.exe	86
2632	1548	WerFault.exe	86
460	1548	WerFault.exe	86
5048	1548	WerFault.exe	86
4008	1548	WerFault.exe	86
1140	1548	WerFault.exe	86
1904	1548	WerFault.exe	86
2732	1548	WerFault.exe	86
3132	1548	WerFault.exe	86
1860	1548	WerFault.exe	86
4384	1548	WerFault.exe	86
1316	1548	WerFault.exe	86
3684	1548	WerFault.exe	86
4012	1548	WerFault.exe	86
796	1548	WerFault.exe	86
1588	1548	WerFault.exe	86
4584	1548	WerFault.exe	86
1996	1548	WerFault.exe	86
3548	1548	WerFault.exe	86
4028	1548	WerFault.exe	86
3824	1548	WerFault.exe	86
3660	1548	WerFault.exe	86
1968	1548	WerFault.exe	86

Suspicious use of AdjustPrivilegeToken 1 IoCs

description	pid	Process
Token: SeShutdownPrivilege	1548	f16151d0d1ea959552d2fe8a724b0dc5.exe

Suspicious use of SetWindowsHookEx 2 IoCs

pid	Process
1548	f16151d0d1ea959552d2fe8a724b0dc5.exe
1548	f16151d0d1ea959552d2fe8a724b0dc5.exe

C:\Users\Admin\AppData\Local\Temp\f16151d0d1ea959552d2fe8a724b0dc5.exe
"C:\Users\Admin\AppData\Local\Temp\f16151d0d1ea959552d2fe8a724b0dc5.exe"
1⤵
- Suspicious use of NtSetInformationThreadHideFromDebugger
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of SetWindowsHookEx
PID:1548
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 804
  2⤵
  - Program crash
  PID:2128
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 888
  2⤵
  - Program crash
  PID:4912
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 992
  2⤵
  - Program crash
  PID:3340
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 984
  2⤵
  - Program crash
  PID:3996
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1244
  2⤵
  - Program crash
  PID:3396
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1312
  2⤵
  - Program crash
  PID:1004
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1304
  2⤵
  - Program crash
  PID:4780
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1332
  2⤵
  - Program crash
  PID:3160
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1352
  2⤵
  - Program crash
  PID:4884
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1320
  2⤵
  - Program crash
  PID:4592
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1360
  2⤵
  - Program crash
  PID:4188
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1304
  2⤵
  - Program crash
  PID:2108
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1376
  2⤵
  - Program crash
  PID:2632
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1388
  2⤵
  - Program crash
  PID:460
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1416
  2⤵
  - Program crash
  PID:5048
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1284
  2⤵
  - Program crash
  PID:4008
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1384
  2⤵
  - Program crash
  PID:1140
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1244
  2⤵
  - Program crash
  PID:1904
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1460
  2⤵
  - Program crash
  PID:2732
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1500
  2⤵
  - Program crash
  PID:3132
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1508
  2⤵
  - Program crash
  PID:1860
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1424
  2⤵
  - Program crash
  PID:4384
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1472
  2⤵
  - Program crash
  PID:1316
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1500
  2⤵
  - Program crash
  PID:3684
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1600
  2⤵
  - Program crash
  PID:4012
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1608
  2⤵
  - Program crash
  PID:796
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1616
  2⤵
  - Program crash
  PID:1588
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1660
  2⤵
  - Program crash
  PID:4584
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1676
  2⤵
  - Program crash
  PID:1996
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1600
  2⤵
  - Program crash
  PID:3548
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1620
  2⤵
  - Program crash
  PID:4028
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1592
  2⤵
  - Program crash
  PID:3824
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1728
  2⤵
  - Program crash
  PID:3660
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 1708
  2⤵
  - Program crash
  PID:1968

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 1548 -ip 1548
1⤵
PID:5108

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 1548 -ip 1548
1⤵
PID:1556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 1548 -ip 1548
1⤵
PID:3152

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 1548 -ip 1548
1⤵
PID:3132

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 1548 -ip 1548
1⤵
PID:844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 1548 -ip 1548
1⤵
PID:3520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 388 -p 1548 -ip 1548
1⤵
PID:5044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 1548 -ip 1548
1⤵
PID:2260

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1548 -ip 1548
1⤵
PID:5056

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 1548 -ip 1548
1⤵
PID:4552

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1548 -ip 1548
1⤵
PID:1424

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1548 -ip 1548
1⤵
PID:4032

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 1548 -ip 1548
1⤵
PID:2576

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 1548 -ip 1548
1⤵
PID:3744

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1548 -ip 1548
1⤵
PID:1300

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 388 -p 1548 -ip 1548
1⤵
PID:4952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 1548 -ip 1548
1⤵
PID:1748

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 1548 -ip 1548
1⤵
PID:4780

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1548 -ip 1548
1⤵
PID:3160

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1548 -ip 1548
1⤵
PID:1900

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 1548 -ip 1548
1⤵
PID:3756

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 1548 -ip 1548
1⤵
PID:2152

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 1548 -ip 1548
1⤵
PID:2572

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 1548 -ip 1548
1⤵
PID:3732

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 1548 -ip 1548
1⤵
PID:1828

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 1548 -ip 1548
1⤵
PID:2644

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 1548 -ip 1548
1⤵
PID:3132

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 1548 -ip 1548
1⤵
PID:4592

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 1548 -ip 1548
1⤵
PID:2572

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 1548 -ip 1548
1⤵
PID:2192

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 1548 -ip 1548
1⤵
PID:2432

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 1548 -ip 1548
1⤵
PID:5100

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 1548 -ip 1548
1⤵
PID:2032

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 1548 -ip 1548
1⤵
PID:552

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

memory/1548-0-0x0000000000B00000-0x0000000000B01000-memory.dmp

Filesize
4KB

Download
memory/1548-1-0x00000000031B0000-0x0000000003659000-memory.dmp

Filesize
4.7MB

Download
memory/1548-2-0x0000000000400000-0x000000000090E000-memory.dmp

Filesize
5.1MB

Download
memory/1548-6-0x0000000000400000-0x000000000090E000-memory.dmp

Filesize
5.1MB

Download
memory/1548-7-0x0000000073FC0000-0x0000000073FF9000-memory.dmp

Filesize
228KB

Download
memory/1548-8-0x0000000000400000-0x000000000090E000-memory.dmp

Filesize
5.1MB

Download
memory/1548-9-0x0000000073D10000-0x0000000073D49000-memory.dmp

Filesize
228KB

Download
memory/1548-10-0x0000000000400000-0x000000000090E000-memory.dmp

Filesize
5.1MB

Download
memory/1548-11-0x0000000073D10000-0x0000000073D49000-memory.dmp

Filesize
228KB

Download
memory/1548-12-0x0000000000400000-0x000000000090E000-memory.dmp

Filesize
5.1MB

Download
memory/1548-13-0x0000000000400000-0x000000000090E000-memory.dmp

Filesize
5.1MB

Download
memory/1548-14-0x0000000073D10000-0x0000000073D49000-memory.dmp

Filesize
228KB

Download
memory/1548-22-0x0000000073D10000-0x0000000073D49000-memory.dmp

Filesize
228KB

Download
memory/1548-16-0x0000000000400000-0x000000000090E000-memory.dmp

Filesize
5.1MB

Download
memory/1548-24-0x0000000073D10000-0x0000000073D49000-memory.dmp

Filesize
228KB

Download
memory/1548-25-0x0000000000400000-0x000000000090E000-memory.dmp

Filesize
5.1MB

Download
memory/1548-27-0x0000000000400000-0x000000000090E000-memory.dmp

Filesize
5.1MB

Download