Analysis

  • max time kernel
    3s
  • max time network
    150s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20231215-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
  • submitted
    22/01/2024, 17:10

General

  • Target

    6fd9d52463f7b9444ae84fccccc96a3b.exe

  • Size

    4.4MB

  • MD5

    6fd9d52463f7b9444ae84fccccc96a3b

  • SHA1

    d4fc7b50057f1e4df7527df00cde8a4b7556498d

  • SHA256

    7bec73f4ea2b19439f13212e476245d88a0cf3da3a90cb27d684614e0a5affef

  • SHA512

    f166b7030e21f2ca4db3c8d6fd030eb9ea85a9e9591a75fc1a22302cad87e2cc6c7880b0af19f1b292d157623f878f98af11283ec9a33d3d77ac517dd4f1e5e2

  • SSDEEP

    98304:pYjdJmh/+mi/Tlmp1pU7mGMDLGUvlm96nZnEV0nhktE22YRzwbW/z6RtwJ:47mhWmuwp1wMDyl6ZnEOhktEKRzr+/wJ

Malware Config

Extracted

Family

metasploit

Version

windows/single_exec

Signatures

  • Glupteba

    Glupteba is a modular loader written in Golang with various components.

  • Glupteba payload 18 IoCs
  • MetaSploit

    Detected malicious payload which is part of the Metasploit Framework, likely generated with msfvenom or similar.

  • Modifies Windows Firewall 1 TTPs 1 IoCs
  • Program crash 64 IoCs
  • Creates scheduled task(s) 1 TTPs 1 IoCs

    Schtasks is often used by malware for persistence or to perform post-infection execution.

  • GoLang User-Agent 4 IoCs

    Uses default user-agent string defined by GoLang HTTP packages.

Processes

  • C:\Users\Admin\AppData\Local\Temp\6fd9d52463f7b9444ae84fccccc96a3b.exe
    "C:\Users\Admin\AppData\Local\Temp\6fd9d52463f7b9444ae84fccccc96a3b.exe"
    1⤵
      PID:1116
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 368
        2⤵
        • Program crash
        PID:5068
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 372
        2⤵
        • Program crash
        PID:1300
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 372
        2⤵
        • Program crash
        PID:3192
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 612
        2⤵
        • Program crash
        PID:4020
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 724
        2⤵
        • Program crash
        PID:4368
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 704
        2⤵
        • Program crash
        PID:4556
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 752
        2⤵
        • Program crash
        PID:3840
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 716
        2⤵
        • Program crash
        PID:540
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 776
        2⤵
        • Program crash
        PID:3612
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 724
        2⤵
        • Program crash
        PID:4476
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 640
        2⤵
        • Program crash
        PID:1520
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 864
        2⤵
        • Program crash
        PID:3256
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 812
        2⤵
        • Program crash
        PID:2248
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 868
        2⤵
        • Program crash
        PID:1004
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 656
        2⤵
        • Program crash
        PID:948
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 656
        2⤵
        • Program crash
        PID:4332
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 876
        2⤵
        • Program crash
        PID:528
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 860
        2⤵
        • Program crash
        PID:4452
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 900
        2⤵
        • Program crash
        PID:5096
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 832
        2⤵
        • Program crash
        PID:2512
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 1116 -s 920
        2⤵
        • Program crash
        PID:2008
      • C:\Users\Admin\AppData\Local\Temp\6fd9d52463f7b9444ae84fccccc96a3b.exe
        "C:\Users\Admin\AppData\Local\Temp\6fd9d52463f7b9444ae84fccccc96a3b.exe"
        2⤵
          PID:4392
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 336
            3⤵
            • Program crash
            PID:3764
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 336
            3⤵
            • Program crash
            PID:4056
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 332
            3⤵
            • Program crash
            PID:5044
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 720
            3⤵
            • Program crash
            PID:4520
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 720
            3⤵
            • Program crash
            PID:2844
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 524
            3⤵
            • Program crash
            PID:800
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 500
            3⤵
            • Program crash
            PID:2352
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 484
            3⤵
            • Program crash
            PID:4244
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 744
            3⤵
            • Program crash
            PID:1468
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 488
            3⤵
            • Program crash
            PID:688
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 720
            3⤵
            • Program crash
            PID:3096
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 464
            3⤵
            • Program crash
            PID:3428
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 840
            3⤵
            • Program crash
            PID:1892
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 776
            3⤵
            • Program crash
            PID:2972
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 508
            3⤵
            • Program crash
            PID:3012
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 956
            3⤵
            • Program crash
            PID:932
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1392
            3⤵
            • Program crash
            PID:2456
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1644
            3⤵
            • Program crash
            PID:4820
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1428
            3⤵
            • Program crash
            PID:4152
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1660
            3⤵
            • Program crash
            PID:4844
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1620
            3⤵
            • Program crash
            PID:2888
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1424
            3⤵
            • Program crash
            PID:2184
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1416
            3⤵
            • Program crash
            PID:2132
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1420
            3⤵
            • Program crash
            PID:1460
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1464
            3⤵
            • Program crash
            PID:3248
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1748
            3⤵
            • Program crash
            PID:2704
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 1444
            3⤵
            • Program crash
            PID:2028
          • C:\Windows\system32\cmd.exe
            C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"
            3⤵
              PID:436
              • C:\Windows\system32\netsh.exe
                netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes
                4⤵
                • Modifies Windows Firewall
                PID:3944
            • C:\Windows\rss\csrss.exe
              C:\Windows\rss\csrss.exe ""
              3⤵
                PID:4676
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 368
                  4⤵
                  • Program crash
                  PID:1392
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 372
                  4⤵
                  • Program crash
                  PID:4476
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 372
                  4⤵
                  • Program crash
                  PID:2296
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 656
                  4⤵
                  • Program crash
                  PID:1896
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 704
                  4⤵
                  • Program crash
                  PID:4956
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 720
                  4⤵
                  • Program crash
                  PID:3768
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 712
                  4⤵
                  • Program crash
                  PID:3340
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 756
                  4⤵
                  • Program crash
                  PID:960
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 752
                  4⤵
                  • Program crash
                  PID:3264
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 636
                  4⤵
                  • Program crash
                  PID:5116
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 720
                  4⤵
                  • Program crash
                  PID:5048
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 636
                  4⤵
                  • Program crash
                  PID:3964
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 920
                  4⤵
                  • Program crash
                  PID:1736
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 636
                  4⤵
                  • Program crash
                  PID:3748
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 976
                  4⤵
                  • Program crash
                  PID:5012
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 992
                  4⤵
                  • Program crash
                  PID:5044
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 936
                  4⤵
                    PID:3196
                  • C:\Windows\SysWOW64\WerFault.exe
                    C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1072
                    4⤵
                      PID:2028
                    • C:\Windows\SYSTEM32\schtasks.exe
                      schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F
                      4⤵
                      • Creates scheduled task(s)
                      PID:860
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1544
                      4⤵
                        PID:3736
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1528
                        4⤵
                          PID:4628
                        • C:\Windows\SysWOW64\WerFault.exe
                          C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1520
                          4⤵
                            PID:2844
                          • C:\Windows\SysWOW64\WerFault.exe
                            C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1500
                            4⤵
                              PID:4556
                            • C:\Windows\SysWOW64\WerFault.exe
                              C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1648
                              4⤵
                                PID:3464
                              • C:\Windows\SysWOW64\WerFault.exe
                                C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1632
                                4⤵
                                  PID:3564
                                • C:\Windows\SysWOW64\WerFault.exe
                                  C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1480
                                  4⤵
                                    PID:1844
                                  • C:\Windows\SysWOW64\WerFault.exe
                                    C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1612
                                    4⤵
                                      PID:1600
                                    • C:\Users\Admin\AppData\Local\Temp\csrss\injector\injector.exe
                                      C:\Users\Admin\AppData\Local\Temp\csrss\injector\injector.exe taskmgr.exe C:\Users\Admin\AppData\Local\Temp\csrss\injector\NtQuerySystemInformationHook.dll
                                      4⤵
                                        PID:2116
                                      • C:\Windows\SysWOW64\WerFault.exe
                                        C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1580
                                        4⤵
                                          PID:3056
                                        • C:\Windows\SysWOW64\WerFault.exe
                                          C:\Windows\SysWOW64\WerFault.exe -u -p 4676 -s 1500
                                          4⤵
                                            PID:4288
                                    • C:\Windows\SysWOW64\WerFault.exe
                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 424 -p 1116 -ip 1116
                                      1⤵
                                        PID:2508
                                      • C:\Windows\SysWOW64\WerFault.exe
                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 1116 -ip 1116
                                        1⤵
                                          PID:5016
                                        • C:\Windows\SysWOW64\WerFault.exe
                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 200 -p 1116 -ip 1116
                                          1⤵
                                            PID:116
                                          • C:\Windows\SysWOW64\WerFault.exe
                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1116 -ip 1116
                                            1⤵
                                              PID:4560
                                            • C:\Windows\SysWOW64\WerFault.exe
                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 1116 -ip 1116
                                              1⤵
                                                PID:5080
                                              • C:\Windows\SysWOW64\WerFault.exe
                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1116 -ip 1116
                                                1⤵
                                                  PID:1344
                                                • C:\Windows\SysWOW64\WerFault.exe
                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 1116 -ip 1116
                                                  1⤵
                                                    PID:2776
                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 1116 -ip 1116
                                                    1⤵
                                                      PID:1468
                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1116 -ip 1116
                                                      1⤵
                                                        PID:912
                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 1116 -ip 1116
                                                        1⤵
                                                          PID:2756
                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 1116 -ip 1116
                                                          1⤵
                                                            PID:1120
                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1116 -ip 1116
                                                            1⤵
                                                              PID:2072
                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1116 -ip 1116
                                                              1⤵
                                                                PID:3708
                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 1116 -ip 1116
                                                                1⤵
                                                                  PID:3968
                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 1116 -ip 1116
                                                                  1⤵
                                                                    PID:1228
                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 1116 -ip 1116
                                                                    1⤵
                                                                      PID:4860
                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 1116 -ip 1116
                                                                      1⤵
                                                                        PID:3264
                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 1116 -ip 1116
                                                                        1⤵
                                                                          PID:3304
                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 1116 -ip 1116
                                                                          1⤵
                                                                            PID:4976
                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 1116 -ip 1116
                                                                            1⤵
                                                                              PID:1960
                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 1116 -ip 1116
                                                                              1⤵
                                                                                PID:4344
                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 4392 -ip 4392
                                                                                1⤵
                                                                                  PID:3348
                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4392 -ip 4392
                                                                                  1⤵
                                                                                    PID:3920
                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4392 -ip 4392
                                                                                    1⤵
                                                                                      PID:4744
                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4392 -ip 4392
                                                                                      1⤵
                                                                                        PID:1316
                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 4392 -ip 4392
                                                                                        1⤵
                                                                                          PID:4336
                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4392 -ip 4392
                                                                                          1⤵
                                                                                            PID:2164
                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 4392 -ip 4392
                                                                                            1⤵
                                                                                              PID:4920
                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 4392 -ip 4392
                                                                                              1⤵
                                                                                                PID:3452
                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4392 -ip 4392
                                                                                                1⤵
                                                                                                  PID:2864
                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4392 -ip 4392
                                                                                                  1⤵
                                                                                                    PID:3700
                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4392 -ip 4392
                                                                                                    1⤵
                                                                                                      PID:3312
                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 4392 -ip 4392
                                                                                                      1⤵
                                                                                                        PID:5092
                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4392 -ip 4392
                                                                                                        1⤵
                                                                                                          PID:3944
                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4392 -ip 4392
                                                                                                          1⤵
                                                                                                            PID:1936
                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 4392 -ip 4392
                                                                                                            1⤵
                                                                                                              PID:3744
                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4392 -ip 4392
                                                                                                              1⤵
                                                                                                                PID:4616
                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 4392 -ip 4392
                                                                                                                1⤵
                                                                                                                  PID:4172
                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4392 -ip 4392
                                                                                                                  1⤵
                                                                                                                    PID:4416
                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 4392 -ip 4392
                                                                                                                    1⤵
                                                                                                                      PID:4332
                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 4392 -ip 4392
                                                                                                                      1⤵
                                                                                                                        PID:528
                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4392 -ip 4392
                                                                                                                        1⤵
                                                                                                                          PID:1100
                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 4392 -ip 4392
                                                                                                                          1⤵
                                                                                                                            PID:4796
                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4392 -ip 4392
                                                                                                                            1⤵
                                                                                                                              PID:4400
                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4392 -ip 4392
                                                                                                                              1⤵
                                                                                                                                PID:4316
                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4392 -ip 4392
                                                                                                                                1⤵
                                                                                                                                  PID:1492
                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 4392 -ip 4392
                                                                                                                                  1⤵
                                                                                                                                    PID:4792
                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 4392 -ip 4392
                                                                                                                                    1⤵
                                                                                                                                      PID:1760
                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 4676 -ip 4676
                                                                                                                                      1⤵
                                                                                                                                        PID:4920
                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 200 -p 4676 -ip 4676
                                                                                                                                        1⤵
                                                                                                                                          PID:1524
                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4676 -ip 4676
                                                                                                                                          1⤵
                                                                                                                                            PID:2756
                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4676 -ip 4676
                                                                                                                                            1⤵
                                                                                                                                              PID:2116
                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4676 -ip 4676
                                                                                                                                              1⤵
                                                                                                                                                PID:4672
                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 4676 -ip 4676
                                                                                                                                                1⤵
                                                                                                                                                  PID:3540
                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 4676 -ip 4676
                                                                                                                                                  1⤵
                                                                                                                                                    PID:804
                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4676 -ip 4676
                                                                                                                                                    1⤵
                                                                                                                                                      PID:4924
                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 4676 -ip 4676
                                                                                                                                                      1⤵
                                                                                                                                                        PID:4416
                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 4676 -ip 4676
                                                                                                                                                        1⤵
                                                                                                                                                          PID:4332
                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4676 -ip 4676
                                                                                                                                                          1⤵
                                                                                                                                                            PID:2340
                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 4676 -ip 4676
                                                                                                                                                            1⤵
                                                                                                                                                              PID:1872
                                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4676 -ip 4676
                                                                                                                                                              1⤵
                                                                                                                                                                PID:4872
                                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 4676 -ip 4676
                                                                                                                                                                1⤵
                                                                                                                                                                  PID:4572
                                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4676 -ip 4676
                                                                                                                                                                  1⤵
                                                                                                                                                                    PID:1492
                                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 192 -p 4676 -ip 4676
                                                                                                                                                                    1⤵
                                                                                                                                                                      PID:3348
                                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 192 -p 4676 -ip 4676
                                                                                                                                                                      1⤵
                                                                                                                                                                        PID:3484
                                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4676 -ip 4676
                                                                                                                                                                        1⤵
                                                                                                                                                                          PID:2496
                                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4676 -ip 4676
                                                                                                                                                                          1⤵
                                                                                                                                                                            PID:3944
                                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4676 -ip 4676
                                                                                                                                                                            1⤵
                                                                                                                                                                              PID:3772
                                                                                                                                                                            • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                              C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4676 -ip 4676
                                                                                                                                                                              1⤵
                                                                                                                                                                                PID:2156
                                                                                                                                                                              • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4676 -ip 4676
                                                                                                                                                                                1⤵
                                                                                                                                                                                  PID:1924
                                                                                                                                                                                • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4676 -ip 4676
                                                                                                                                                                                  1⤵
                                                                                                                                                                                    PID:3712
                                                                                                                                                                                  • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 4676 -ip 4676
                                                                                                                                                                                    1⤵
                                                                                                                                                                                      PID:3856
                                                                                                                                                                                    • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 4676 -ip 4676
                                                                                                                                                                                      1⤵
                                                                                                                                                                                        PID:1392
                                                                                                                                                                                      • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                        C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 4676 -ip 4676
                                                                                                                                                                                        1⤵
                                                                                                                                                                                          PID:2744
                                                                                                                                                                                        • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                          C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4676 -ip 4676
                                                                                                                                                                                          1⤵
                                                                                                                                                                                            PID:4244
                                                                                                                                                                                          • C:\Windows\SysWOW64\WerFault.exe
                                                                                                                                                                                            C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4676 -ip 4676
                                                                                                                                                                                            1⤵
                                                                                                                                                                                              PID:3832

                                                                                                                                                                                            Network

                                                                                                                                                                                                  MITRE ATT&CK Enterprise v15

                                                                                                                                                                                                  Replay Monitor

                                                                                                                                                                                                  Loading Replay Monitor...

                                                                                                                                                                                                  Downloads

                                                                                                                                                                                                  • C:\Users\Admin\AppData\Local\Temp\csrss\injector\injector.exe

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    63KB

                                                                                                                                                                                                    MD5

                                                                                                                                                                                                    395ae7c9cccebd73de9e6de2d543279d

                                                                                                                                                                                                    SHA1

                                                                                                                                                                                                    2805fbce7d93fe5258269247af4033f211561820

                                                                                                                                                                                                    SHA256

                                                                                                                                                                                                    846af15e1c9c6b2e76e87a35943266de1b15ed2564e67bcae7040ecabbde53a6

                                                                                                                                                                                                    SHA512

                                                                                                                                                                                                    063544b4fb4b8b228f39c1ee4b98b2f1c7f091c158793271f18272c23d13a0cc3a87442b02d9887d594a73a80a9adb26c0369126924a66d9541c3335892da892

                                                                                                                                                                                                  • C:\Users\Admin\AppData\Local\Temp\csrss\injector\injector.exe

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    113KB

                                                                                                                                                                                                    MD5

                                                                                                                                                                                                    25475beab23b020b3b25e215333f4db1

                                                                                                                                                                                                    SHA1

                                                                                                                                                                                                    dba5b352c8df85dcdef4c7206a8410bbcb32fca8

                                                                                                                                                                                                    SHA256

                                                                                                                                                                                                    451a6c64803fc2257eb8520893dad30e264c3005535f6305bab233797095d096

                                                                                                                                                                                                    SHA512

                                                                                                                                                                                                    8dd0997a8418f10118f99fe72036d633917c6951d4210685d5f38956fe34a10913ee8e7bb02f808defb4d571eeeb086a804fb259b8d3e8d261a4f974662e917a

                                                                                                                                                                                                  • C:\Windows\rss\csrss.exe

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    109KB

                                                                                                                                                                                                    MD5

                                                                                                                                                                                                    a38abd5135bd7dd303e36d98b66ba72a

                                                                                                                                                                                                    SHA1

                                                                                                                                                                                                    f964b8b231631cb299e40565b93afbc39ee37959

                                                                                                                                                                                                    SHA256

                                                                                                                                                                                                    fab958b19764e9d129d91caaf0631a76ebc4697a5080d6e331dc27d924621b45

                                                                                                                                                                                                    SHA512

                                                                                                                                                                                                    06032e323cccd5ef99afe6bc1b799a7273c2c82ad843b65af1497847f11093ac33b5d414ed82b4039950f4067f5625badaddc501e501084b5f0da2bfe6f13fdd

                                                                                                                                                                                                  • C:\Windows\rss\csrss.exe

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    8KB

                                                                                                                                                                                                    MD5

                                                                                                                                                                                                    fdc2ab5431888ecf6f7c0e674e8812d9

                                                                                                                                                                                                    SHA1

                                                                                                                                                                                                    e62c381ac3b782e2f5b82bae97c797757d0e375b

                                                                                                                                                                                                    SHA256

                                                                                                                                                                                                    fb70708694f1d8d7881fcced3dc6d8319affe8db6ce3bd91591bc1826a22fabe

                                                                                                                                                                                                    SHA512

                                                                                                                                                                                                    3b97e3a723fd4cb04a37328bb7f6fe2acd3eaaf470c1161aa61bb7755163f76fbd45b4e46f5a7ab907e61c6056e9e082118d420f17a510761b2b7d62ac67b8d7

                                                                                                                                                                                                  • memory/1116-4-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/1116-6-0x0000000005470000-0x0000000005D96000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    9.1MB

                                                                                                                                                                                                  • memory/1116-1-0x0000000005020000-0x0000000005466000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    4.3MB

                                                                                                                                                                                                  • memory/1116-3-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/1116-2-0x0000000005470000-0x0000000005D96000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    9.1MB

                                                                                                                                                                                                  • memory/4392-7-0x0000000004D40000-0x0000000005181000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    4.3MB

                                                                                                                                                                                                  • memory/4392-8-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4392-18-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-38-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-33-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-21-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-20-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-19-0x0000000005200000-0x0000000005700000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    5.0MB

                                                                                                                                                                                                  • memory/4676-29-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-30-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-31-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-32-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-28-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-34-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-35-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-36-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-37-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-27-0x0000000005200000-0x0000000005700000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    5.0MB

                                                                                                                                                                                                  • memory/4676-39-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB

                                                                                                                                                                                                  • memory/4676-40-0x0000000000400000-0x00000000030EF000-memory.dmp

                                                                                                                                                                                                    Filesize

                                                                                                                                                                                                    44.9MB