ID: 317259 Sample Name: 9o4ec239o8 Cookbook: default.jbs Time: 14:41:35 Date: 15/11/2020 Version: 31.0.0 Red Diamond Table of Contents Table of Contents 2 Analysis Report 9o4ec239o8 4 Overview 4 General Information 4 Detection 4 Signatures 4 Classification 4 Startup 4 Malware Configuration 4 Yara Overview 4 Memory Dumps 4 Sigma Overview 4 Signature Overview 5 AV Detection: 5 E-Banking Fraud: 5 Hooking and other Techniques for Hiding and Protection: 5 Malware Analysis System Evasion: 5 HIPS / PFW / Operating System Protection Evasion: 5 Stealing of Sensitive Information: 5 Remote Access Functionality: 5 Mitre Att&ck Matrix 5 Behavior Graph 6 Screenshots 7 Thumbnails 7 Antivirus, Machine Learning and Genetic Malware Detection 8 Initial Sample 8 Dropped Files 8 Unpacked PE Files 8 Domains 8 URLs 9 Domains and IPs 9 Contacted Domains 9 URLs from Memory and Binaries 9 Contacted IPs 9 Public 9 Private 10 General Information 10 Simulations 10 Behavior and APIs 10 Joe Sandbox View / Context 11 IPs 11 Domains 11 ASN 11 JA3 Fingerprints 11 Dropped Files 11 Created / dropped Files 11 Static File Info 13 General 13 File Icon 13 Static PE Info 13 General 13 Entrypoint Preview 13 Data Directories 14 Sections 15 Resources 15 Imports 16 Copyright null 2020 Page 2 of 23 Possible Origin 16 Network Behavior 16 TCP Packets 16 Code Manipulations 17 Statistics 17 Behavior 17 System Behavior 17 Analysis Process: 9o4ec239o8.exe PID: 2964 Parent PID: 5792 17 General 17 File Activities 18 File Created 18 File Deleted 18 File Written 18 Registry Activities 19 Key Value Created 19 Analysis Process: IKOa.exe PID: 5332 Parent PID: 2964 19 General 19 File Activities 19 File Read 19 Analysis Process: RegSvcs.exe PID: 5916 Parent PID: 5332 20 General 20 File Activities 20 File Created 20 File Written 20 File Read 21 Registry Activities 22 Key Created 22 Key Value Created 22 Analysis Process: rundll32.exe PID: 1460 Parent PID: 3472 22 General 22 Disassembly 23 Code Analysis 23 Copyright null 2020 Page 3 of 23 Analysis Report 9o4ec239o8 Overview General Information Detection Signatures Classification Sample 9o4ec239o8 (renamed file Name: extension from none to Muullltttiii AAVV SSccaannnneerrr ddeettteecctttiiioonn fffoorrr ssuubbm… exe) YMYaaurrrlatai dAdeeVttte eScccttteaednd n IIImerm diiiennteennctttion for subm Analysis ID: 317259 AYAllallllooracca adttteestse mcteemd oIomrrryym iiininn feffoonrrrteeiiiggnn pprrroocceessss… MD5: dc094df610899b1… HAHiliidldoeecssa tttehhsaa tttm ttthheeem ssoaarmy ippnlll eefo hhraeasisg bnbe epeernon c ddeooswws… Ransomware SHA1: ac9a225b8cff0a0… Miner Spreading IIHInnijjjdeeecctsttss t aha a PPt EEth ffefiiill lees a iiinnmtttoop laea ffhfooarrresei iigbgnen e ppnrrro odccoeew… SHA256: 3a26e36f25e5f3b… IInnjjeeccttss aa PPEE ffiillee iinnttoo aa ffoorreeiiggnn pprrooccee… mmaallliiiccciiioouusss malicious MInajaeccchhtisinn eae LPLeEeaa frrinlneiin nigng t dode eatte efcoctrtiieooinng nffoo prr r ssoaacmepp Evader Phishing Tags: ImminentRAT Maacchhiiinnee LLeeaarrrnniiinngg ddeettteecctttiiioonn fffoorrr ssaampp… sssuusssppiiiccciiioouusss suspicious Most interesting Screenshot: cccllleeaann TMTrrraiiieecssh tittnooe dd Leeettteeaccrttnt sisnaagnn ddbebotoexxceetsiso anan nfdod r o osttthahemerrr…p clean Exploiter Banker WTrrrireiiitttese sst o ttto od feffootrerreeciiitgg snna mndeebmoooxrreryys rr reaegngidiioo nonstsher Imminent Writes to foreign memory regions AWAnnrttititiiveviiisrrru utsos ooforrr r Meiagacnchh miiinneem LLoeeraayrrr nnreiiinngggio ddneesttteecc… Spyware Trojan / Bot Adware Score: 80 CAConontnivtttaairiiiunnss offfuurn nMcctattiiioconhnaianllliieittty yL fffeooarrr r rrrneeianadgd ddaeatttaea c fff… Range: 0 - 100 CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy ttftoo r b brllleooacckdk mdaootuaus sf… Whitelisted: false CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo cbchlhoeeccckkk m iiifff o aau dsd… Confidence: 100% CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo cchheecckk iiifff aa dd… CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo cchheecckk iiifff aa wdw… CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo ccohomecmk uuifnn aiiicc awa… Startup CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo dcdyoynmnaammuiiicncaaiclllllalyy… CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo edexyxenecacumuttteiec paprlrrloyo… System is w10x64 CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo llelaaxuuenncccuhht e aa p pprrror… 9o4ec239o8.exe (PID: 2964 cmdline: 'C:\Users\user\Desktop\9o4ec239o8.exe' MD5: DC094DF610899B15AC114FD2D5B2D067) IKOa.exe (PID: 5332 cmdline: C:\Users\user\AppData\Local\Temp\IXP000.TMP\IKOa.CeCxooenn tCttaaYiiinnfshs C fffuu nMnccDtttiiio5on:n aBalll0iiittt6yy E tttoo6 7lllaaFuu9nn7cc6hh7 aEa 5pp0rrr…23892D9698703AD098) RegSvcs.exe (PID: 5916 cmdline: 0 MD5: 2867A3817C9245F7CF518524DFD18F28) CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo oloappueennnc haa app ooprrrrttt… rundll32.exe (PID: 1460 cmdline: 'C:\Windows\system32\rundll32.exe' C:\Windows\system32\advpack.dll,DelNodeRunDLL32 'C:\Users\user\AppData\Local\Temp\IXP000.TMP\' MD5: 73C519F050C20580F8A62C849D49215A) CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo qoqupueerrnryy a CC pPPoUUrt … cleanup CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo rrqreeuaaeddr y ttth hCeeP ccUllliii… CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo rrreettatrrridiiee vtvheee ii inncfflfoio… CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo srsehhtuurittteddvooeww inn f///o … Malware Configuration CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo ssiihimuutudlllaaotttwee n kk e/e … CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo ssiiimuulllaatttee mke… Contains functionality to simulate m No configs have been found CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy wtwohh siiiccimhh umlaaatyey bbmee… CCoonntttaaiiinnss llflouonngcg t sisollleneeaeplpistsy ( ((w>>=h= i 3c3h m miiinna)))y be CCrroreenaattatteeinss s aa l oppnrrrogoc cseelsesses piiinns ss(u>us=sp p3ee nmnddiened)d moo… DCDereettteaectcettteesd da p ppoortttoeecnnetttiisiaaslll cicnrrry yspputttoso p fffueunncdcttetiiiodon nmo Yara Overview DDrrerootpeppcpteedd fffpiiillleoe t seseneeteinan l i iincn r cycopontnonn efeuccntttiiciootnino wnwiiittthh… DDrrrooppsps e PPdEE f ifflfiieilllee sseen in connection with Memory Dumps EDEnrnoaapbbslllee Pss E dd eefiblbeuusgg pprrriiivviiillleeggeess Source Rule DescriptionEExnxttateebnnlsesiisivvA eedu euutbshsueoeg roo pfff rGiveeilttetPPgrrreoosccAAddddSrrrteersisnss g (((oso… 00000002.00000002.503196069.0000000002EF1000.00000 JoeSecurity_Imminent Yara detected Joe Security FEFoxoutuennndds aiav ehh iiiuggshhe nn ouufm GbbeeetrrPr oorofff cWAiiidnnddrooewws s /// U(Uoss… 004.00000001.sdmp Imminent FFoouunndd aa hhiigghh nnuumbbeerr ooff Wiinnddooww // UUss… Process Memory Space: RegSvcs.exe PID: 5916 JoeSecurity_Imminent Yara detecteFdFo ouunndd papJo ohottteiegn nhSttti iieanacllul usmstrttrrirbtiiinyneggr oddfee Wccrrryiynppdtttiioioownn /// aUa…s Imminent OFoSSu vnvederr rspsiioiotnne ntttooti a ssltt trrsriiintnrgign mg adapeppcpiriinyngpg t ffifoounun n/d da … POPEES fffviiillleer cscoionnttt aatoiiinn ss t arainn g iiin nmvvaallpliiiddp iccnhhgee fccokkussnuudm PPEE fffiiilllee ccoonntttaaiiinnss eaexnxe eicncuvutattaalbibdllle ec hrrreesscookusurrurccmee… Sigma Overview PPEE fffiiilllee ccoonntttaaiiinnss sesttxtrrraeancnuggteea brrreeless ooreuusrrrcoceeussrce PPoEottt eefinlnettti iiacaloll knkeetayyi nllloosgg sggterearrr n ddgeeettte erccetttseeoddu (((rkkceeyys ss… No Sigma rule has matched QPouuteerrrniiieetissa lttt hhkee y vv oloolllugumgeeer iiidnnefffooterrrmctaeattdtiiioo (nnk e(((nyna asm… SQSaaumerppielllees eethxxee ccvuuotttliiiuoomnn esst ttoionppfoss r wmwhhaiiitllleieo npp rrr(oonccaeem… Sample execution stops while proce Copyright null 2020 Page 4 of 23 Signature Overview • AV Detection • Cryptography • Spreading • Networking • Key, Mouse, Clipboard, Microphone and Screen Capturing • E-Banking Fraud • System Summary • Data Obfuscation • Persistence and Installation Behavior • Hooking and other Techniques for Hiding and Protection • Malware Analysis System Evasion • Anti Debugging • HIPS / PFW / Operating System Protection Evasion • Language, Device and Operating System Detection • Stealing of Sensitive Information • Remote Access Functionality Click to jump to signature section AV Detection: Multi AV Scanner detection for submitted file Yara detected Imminent Machine Learning detection for sample E-Banking Fraud: Yara detected Imminent Hooking and other Techniques for Hiding and Protection: Hides that the sample has been downloaded from the Internet (zone.identifier) Malware Analysis System Evasion: Tries to detect sandboxes and other dynamic analysis tools (process name or module or function) HIPS / PFW / Operating System Protection Evasion: Allocates memory in foreign processes Injects a PE file into a foreign processes Writes to foreign memory regions Stealing of Sensitive Information: Yara detected Imminent Remote Access Functionality: Yara detected Imminent Mitre Att&ck Matrix Copyright null 2020 Page 5 of 23 Privilege Credential Lateral Command Initial Access Execution Persistence Escalation Defense Evasion Access Discovery Movement Collection Exfiltration and Control Valid Native Application Exploitation for Disable or Modify Input System Time Remote Archive Exfiltration Over Other Ingress Tool Accounts 2 API 1 Shimming 1 Privilege Tools 1 1 Capture 2 1 Discovery 2 Services