Automated Malware Analysis Report for Zphoenixminer.Exe
Total Page:16
File Type:pdf, Size:1020Kb
ID: 333796 Sample Name: zphoenixminer.exe Cookbook: default.jbs Time: 23:37:39 Date: 23/12/2020 Version: 31.0.0 Red Diamond Table of Contents Table of Contents 2 Analysis Report zphoenixminer.exe 4 Overview 4 General Information 4 Detection 4 Signatures 4 Classification 4 Startup 4 Malware Configuration 4 Yara Overview 4 Memory Dumps 4 Unpacked PEs 5 Sigma Overview 6 Signature Overview 6 AV Detection: 6 Networking: 6 Key, Mouse, Clipboard, Microphone and Screen Capturing: 6 E-Banking Fraud: 7 Spam, unwanted Advertisements and Ransom Demands: 7 System Summary: 7 Persistence and Installation Behavior: 7 Hooking and other Techniques for Hiding and Protection: 7 HIPS / PFW / Operating System Protection Evasion: 7 Stealing of Sensitive Information: 7 Remote Access Functionality: 7 Mitre Att&ck Matrix 7 Behavior Graph 8 Screenshots 9 Thumbnails 9 Antivirus, Machine Learning and Genetic Malware Detection 9 Initial Sample 9 Dropped Files 9 Unpacked PE Files 10 Domains 10 URLs 10 Domains and IPs 10 Contacted Domains 10 URLs from Memory and Binaries 10 Contacted IPs 12 Public 12 General Information 12 Simulations 13 Behavior and APIs 13 Joe Sandbox View / Context 13 IPs 13 Domains 13 ASN 14 JA3 Fingerprints 14 Dropped Files 14 Created / dropped Files 14 Static File Info 19 General 20 File Icon 20 Static PE Info 20 General 20 Entrypoint Preview 20 Copyright null 2020 Page 2 of 34 Data Directories 21 Sections 22 Resources 22 Imports 24 Exports 24 Version Infos 25 Possible Origin 25 Network Behavior 25 TCP Packets 25 Code Manipulations 26 Statistics 26 Behavior 26 System Behavior 26 Analysis Process: zphoenixminer.exe PID: 5740 Parent PID: 5532 26 General 26 Analysis Process: nslookup.exe PID: 240 Parent PID: 5740 27 General 27 File Activities 27 File Read 27 Analysis Process: conhost.exe PID: 1000 Parent PID: 240 27 General 27 Analysis Process: cmd.exe PID: 4196 Parent PID: 240 28 General 28 Analysis Process: cmd.exe PID: 1740 Parent PID: 240 28 General 28 Analysis Process: cmd.exe PID: 404 Parent PID: 240 28 General 28 Analysis Process: cmd.exe PID: 3492 Parent PID: 240 29 General 29 Analysis Process: cmd.exe PID: 620 Parent PID: 240 29 General 29 Analysis Process: notepad.exe PID: 4260 Parent PID: 240 29 General 29 File Activities 30 File Created 30 File Written 31 Registry Activities 33 Key Created 33 Key Value Created 33 Disassembly 33 Code Analysis 33 Copyright null 2020 Page 3 of 34 Analysis Report zphoenixminer.exe Overview General Information Detection Signatures Classification Sample zphoenixminer.exe Name: DDeettteeccttteedd RReemccooss RRAATT Analysis ID: 333796 MDeaatlllieiiccciiiotoeuudss Rssaeampcpllolees d dReeAttteeTccttteedd (((ttthhrrroouugghh … MD5: fb0b58548f18718… SMSyyassltittceeimou pspr rrosoaccemesspssl e cc odonenntneeeccctttetssd ttt oo(t hnnreeotttwuwgoohrrr… SHA1: Ransomware 03e68d10cbe6dfc… System process connects to networ YSYayarsrraate ddmee tttpeerccottteceedds RRs eecmonccnooess c RRtsAA tTTo networ Miner Spreading SHA256: 891c233cff0f39e… AYAlalllooracca adtteestse mcteemd oRorreyym iinnc offoosr reReiigAgnTn pprroocceessss mmaallliiiccciiioouusss AAllllllooccaattteess meemoorrryy iiinn fffoorrreeiiiggnn pprrroocceessss… malicious Tags: exe RemcosRAT Evader Phishing sssuusssppiiiccciiioouusss CACololonnctttaaiitinness fffmuunneccmtttiiioonrnyaa lilliniittty yf o tttoroe ccigaanpp tttpuurrrroeec aeansndsd… suspicious Most interesting Screenshot: cccllleeaann clean CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo iicinnajjjepectcuttt rcceoo dadene d … Exploiter Banker CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo rrirneejggeiiicssttt eecrrro ada e llloo … Spyware Trojan / Bot Remcos CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo srsettteegaaislll t CeCrhh rarroo lmo… Adware Score: 100 CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo ssttteeaalll FCFiiihrrreerofffoom… Range: 0 - 100 CCoonntttaaiiinnss fffuunncctttiiioonnaalllttitytyy t ttotoo c cshhtaeananglg Fee i rttthehefeo … Whitelisted: false DCDrroroonpptsas i enexsxe efcucunuttctaatbibolllene a tttoloty aa t occ oocmhamnoognne ttthhiiierrrdd … Confidence: 100% HDHiirijjjoaapccksks se ttxthheeec uccotoannbtttrlrreoo lllt offflllo oaww c iioinnm aamnnoottnthh etehrrr i prpdrrr… MHiaajappcssk asa DtDhLeLL Lc oorrnr mtroeelm floowrrryy i anar rreaeana o iiintnhtttoeo r a apnnr… Startup OMvaveeprrrsww arrrii itttDeesLs L cc ooddr eem wweiimittthho uruynn cacoorennadd iiitittniiiootnona aalll n jjj… UOUsvseesrsw nnrssitllleoosoo kkcuuoppd...ee xxweei t thttoo u qqnuuceeorrrnyy d dditooiomnaaiiilnn jss System is w10x64 WUsrrrieiittteses sn ttstoolo fffookrrreueiipigg.nne xmee etmo oqorruryye rrreyeg gdiiioonmnssains zphoenixminer.exe (PID: 5740 cmdline: 'C:\Users\user\Desktop\zphoenixminer.exe' MD5: FB0B58548F18718F51BB0A189064B9DA) AWAbbrnintoeorsrrm toaa lll f hohiriigeghihg CnC PPmUUe mUUsosaraygg ereegions nslookup.exe (PID: 240 cmdline: C:\Windows\system32\nslookup.exe MD5: 8E82529D1475D67615ADCB4E1B8F4EEC) conhost.exe (PID: 1000 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForcAAenbnVttnti1iivov iiMirrrmuuDssa 5 olo :hrr r E iMgAhaa7 cCc7hh7PiiinDnUeeE U LELeseAaa7grrr8nne2iiinnEgg8 dBdee4tttDeec7c…C7C33BBF8A4496) cmd.exe (PID: 4196 cmdline: C:\Windows\system32\cmd.exe MD5: F3BDBE3BB6F734E357235F4D5898582D) CAChnheteivccikkrsus s iiif ff o ttthrh eMe cacuucrrhrrrreiennnettt Lpperrrooaccrenesisnssg i iisds ebbteeiiicnn… cmd.exe (PID: 1740 cmdline: C:\Windows\system32\cmd.exe MD5: F3BDBE3BB6CCFh7he3ec4ckEkss3 i5iff 7 tth2he3e 5 ccFuu4rrrrDeen5nt8t p9pr8roo5cc8ee2ssDss) iiss bbeeiinn… cmd.exe (PID: 404 cmdline: C:\Windows\system32\cmd.exe MD5: F3BDBE3BB6FCC7oh3one4nttcEtaak3iiinsn5 ssi7f f2fftuuh3nne5cc Ftcttii4iouoDnrnra5eall8nliiittt9tyy 8 p fff5oroo8rrr c 2rrreeDsaa)sdd i dsd aabttteaai nfff… cmd.exe (PID: 3492 cmdline: C:\Windows\system32\cmd.exe MD5: F3BDBE3BB6F734E357235F4D5898582D) CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tftoo r c craaelllal ndna adttiaivvteea ff cmd.exe (PID: 620 cmdline: C:\Windows\system32\cmd.exe MD5: F3BDBE3BB6FCC7o3on4nttEtaa3iiinn5ss7 f2ffuu3nn5ccFtttii4iooDnna5all8liiittt9yy8 ttt5oo8 cc2aaDllllll ) nnaatttiiivvee fff… notepad.exe (PID: 4260 cmdline: C:\Windows\system32\notepad.exe MD5: D693FCC1o3onFnttEtaa3iiinnAssA fffu2un0nc1ct0ttiiioBonn8aa5llli4iitttyCy t4ttooC dcd6oao0wlw6l n7nl1allooBtaiav8ddeE aaf2…) cleanup CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo ddyoynwnaanmloiiicacadal llllalyy… CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo edenynunumameerirrcaaatttelel y … CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo eennuumeerrraatttee … Malware Configuration CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo llelaanuuunnmcchhe raa tcceoo … CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo qlqauuueenrrrcyyh CC aPP cUUo … No configs have been found CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo qquueerrryy llCloocPcaaUllle e… CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo rrqreeuaaeddr y ttth hloeec PPaElEeBB CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo rrreeaadd ttthhee cPcllliEii…B Yara Overview CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo srsehhauudtttdd toohwwen nc l///i … CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo ssiihimuutudlllaaotttwee n m /… Memory Dumps CCrroreenaattatteeinss s aa f uDDniiirrcreetcicotttInIInnappliuutyttt otoobb jjsjeeicmcttt u (((oloafffttteen nm fffoo… CCrrreeaattteess aa pDprrrioroeccceetssInss p iiinun t s souubssjpepecentn d(doeefdtde mn ofoo… Source Rule Description Author Strings 00000010.00000002.701587054.000000000040 JoeSecurity_Remcos Yara detecCCterrrdeea attteess ffafiiilJl leepossre o ii incSnseseiisidcdseue ir nttithth yseeu ssyypssetttenemde ddi iirrmreecoc… 0000.00000040.00000001.sdmp Remcos RAT CCrrreeaattteess jjfjoiolbeb s fff iiililleness i d(((aaeuu tttthooess tttsaayrrrttst)))tem direc 00000010.00000002.701587054.000000000040 Remcos_1 Remcos Payload kevoreilly 0x16498:$name: Remcos 0000.00000040.00000001.sdmp DCDereettteaectcettteesd dj o TTbCC fPiPle oosrr r ( UaUuDDtPoPs tttrrraaarffftfff)iiicc oonn nnoo0nnx…16810:$name: Remcos 0x16d5c:$name: Remcos DDeettteeccttteedd pTpoCotttePen notttiiriaa Ulll ccDrrryPypp tttrooa fffufuicnn ccotttniiioo nno0nx16daf:$name: Remcos 0x15674:$time: %02i:%02i:%02i:%03i DDrrerootpeppcpteedd fffpiiillleoe t seseneeteinan l i iincn r cycopontnonn efeuccntttiiciootnino wnwiiittthh… DDrrooppppeedd ffiillee sseeeenn iinn ccoonnnneeccttiioonn wwii0tthhx…156fc:$time: %02i:%02i:%02i:%03i 0x16b60:$time: %02i:%02i:%02i:%03i DDrrrooppsps e PPdEE f ifflfiieilllee sseen in connection with 0x3074:$crypto: 0F B6 D0 8B 45 08 89 16 8D 34 07 8B EDExrxottteepnnsss PiiivvEee ufuilsseees oofff GeetttPPrrrooccAAddddrrreessss 0(((oo1… 03 C2 8B CB 99 F7 F9 8A 84 95 F8 FB FF FF 30 06 47 3B 7D ... FEFoxoutuennndds didvrrreoo puppspeed do PfP GEE e fffiitillPlee r wowchhAiiiccdhhd hrheaassss n n(oo… Found dropped PE file which has no Copyright null 2020 Page 4 of 34 Source Rule Description Author Strings 00000010.00000002.701587054.000000000040 REMCOS_RAT_variants unknown unknown 0x16680:$str_a1: C:\Windows\System32\cmd.exe 0000.00000040.00000001.sdmp 0x1669c:$str_a3: /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\System /v EnableLUA /t REG_DWOR 0x1669c:$str_a4: /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\System /v EnableLUA /t REG_DWOR 0x15d80:$str_a5: \AppData\Local\Google\Chrome\User Data\Default\Login