Analysis
-
max time kernel
150s -
max time network
156s -
platform
windows10-2004_x64 -
resource
win10v2004-20240226-en -
resource tags
arch:x64arch:x86image:win10v2004-20240226-enlocale:en-usos:windows10-2004-x64system -
submitted
06-03-2024 01:10
Static task
static1
Behavioral task
behavioral1
Sample
2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe
Resource
win7-20240220-en
General
-
Target
2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe
-
Size
3.1MB
-
MD5
0783b2ff3539adcdb057ddaa8532f5d6
-
SHA1
5d66c3163f38d0b87e6346d85f65c734be9bb21a
-
SHA256
2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca
-
SHA512
f2ba286c03a49889cd2ed6a43f6cf88cb51515e6f6d14e55e3b09c8c7a7272bbe65656dbc791681929fd90f4978ca9d16cee8ceea94fe0f3a4ef223873de4d9a
-
SSDEEP
49152:aRAYeIVVymTJRYToiSauVx2T/ud67uypApgP6wOlOv3AocidW+tImdZsIo:oAYVV3TTcopa0k/udOp4+EocYBtI+sF
Malware Config
Signatures
-
AgentTesla
Agent Tesla is a remote access tool (RAT) written in visual basic.
-
AgentTesla payload 1 IoCs
Processes:
resource yara_rule behavioral2/memory/5044-22-0x0000000009700000-0x0000000009914000-memory.dmp family_agenttesla -
Loads dropped DLL 2 IoCs
Processes:
2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exepid Process 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe -
Obfuscated with Agile.Net obfuscator 3 IoCs
Detects use of the Agile.Net commercial obfuscator, which is capable of entity renaming and control flow obfuscation.
Processes:
resource yara_rule behavioral2/files/0x000800000002321f-5.dat agile_net behavioral2/files/0x000800000002321f-6.dat agile_net behavioral2/memory/5044-8-0x0000000005DA0000-0x0000000005F1E000-memory.dmp agile_net -
Suspicious use of NtSetInformationThreadHideFromDebugger 64 IoCs
Processes:
2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exepid Process 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe -
Enumerates system info in registry 2 TTPs 3 IoCs
Processes:
2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exedescription ioc Process Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemManufacturer 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemVersion 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe -
Suspicious behavior: EnumeratesProcesses 49 IoCs
Processes:
2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exepid Process 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes:
2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exedescription pid Process Token: SeDebugPrivilege 5044 2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe"C:\Users\Admin\AppData\Local\Temp\2dcc606888160f9d8d0439778ba25cc015842e9c4166c1bfe58b69cd43665eca.exe"1⤵
- Loads dropped DLL
- Suspicious use of NtSetInformationThreadHideFromDebugger
- Enumerates system info in registry
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:5044
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
585KB
MD50cf7968dbd9e8093c19e3e876f1b2c9e
SHA1145f4ce6281f1d645a0340964505bda13285a6b3
SHA256f9aafea52a7e5556ec211a604114778dfa868e4df98a19455581732e1b5d27c2
SHA512ceaa053a41e09033732f4d889c6fc41fe14ce303d638517f400aff6fbc8099b0db5b89c6da4b6fd89a59da04121baa7a78f25da495e9e697836b37b773e80c6c
-
Filesize
695KB
MD567844fa1c427751b94f8206890a82d69
SHA1bd76085724607c7f8b689fcc0b6d13e7a2c47d2a
SHA2567d6669c44ae3625015d94f7ab516c3a203fc341a4bc6dfe06e1d3677547823bb
SHA512e2b8a4ae2ec8871813e46d77c6821e2e8f63b560c0e443f5363d97241d568fa6321275a0acf800ffce4f8d7ae45b23b5283c9339273ad9a7423d2a02f17c9235