Recept na aikido arlon spaetzle
Tato™
zpráva má 4 indikátory, které byly namapovány na 6 technik útoku a 5 taktik. Zobrazit všechny podrobnosti
| Moduly | ||||||
|---|---|---|---|---|---|---|
| a rozšíření Persistence T | Loadable Kernel Modules (nebo LKM) jsou části kódu, které lze na požádání načíst a uvolnit do jádra. | |||||
| T | Hooking |
| Procesy systému Windows často využívají funkce rozhraní API (Application Programming Interface) k provádění úloh, které vyžadují opakovaně použitelné systémové prostředky. Další informace | |||
| Eskalace oprávnění | ||||||
| T | Hooking |
| systému Windows často využívají funkce rozhraní API (Application Programming Interface) k provádění úloh, které vyžadují opakovaně použitelné systémové prostředky. Další informace | |||
| Přístup k přihlašovacím údajům | ||||||
| T | Hooking |
| Procesy Windows často využívají funkce rozhraní API (Application Programming Interface) k provádění úloh, které vyžadují opakovaně použitelné systémové prostředky. Další informace | |||
| Discovery | ||||||
| T | System Time Discovery Systémový | čas je nastaven a uložen službou Windows Time Service v rámci domény, aby byla zachována synchronizace času mezi systémy a službami v podnikové síti. Více informací | Příkaz a ovládání | |||
| T | Nežádoucí osoby svlastním příkazovým a řídicím protokolem | mohou komunikovat pomocí vlastního protokolu příkazů a řízení namísto použití existujícího [[Technika/T|Standardní protokol aplikační vrstvy]] pro zapouzdření příkazů. Indikátory | ||||
Ne všechny škodlivé a podezřelé indikátory se zobrazují. Získejte vlastní cloudovou službu nebo plnou verzi pro zobrazení všech podrobností.
-
- Škodlivé artefakty související se sítí zjištěné v kontextu podrobností kontaktovaného hostitele
- Nalezené škodlivé artefakty související s "":
URL: ?login/sign-in/ (AV pozitivy: 6/72 naskenováno 12/05/ )
URL: ?redigováno (AV pozitivy: 8/71 naskenováno 12/05/ )
URL: (AV pozitivy: 11/72 naskenováno 12/05/ )
URL: ? US=_fb9deed4f5ff1f8c8b1a99=United%20States (AV pozitivy: 8/72 naskenovány 12/05/ )
URL: (AV pozitivy: 10/72 naskenovány 12/05/ )
Soubor SHA 4f7caeeab0bf1e89dbffe10fa8d9e99fc6c9 (AV pozitivy: 4/74 naskenované 12/04/ )
Soubor SHA aaedb5f4aa6ebdaf83cf9acece62bb3cc27 (AV pozitivy: 3/72 naskenované 12/03/ )
Soubor SHA aada0cdffc4a38c22ebeeeebc1b (AV pozitiv s: 15/72 naskenováno 12/02/ )
Soubor SHA ecc05cff21bf4f3ac89ecdeb4f51fe58baabce6dd4cc55bc0b (AV pozitivy: 4/71 naskenováno 11/29/ )
Soubor SHA eafccc9cfb3ea3cf5bbcdf7b67cccbb8a55e8cbf8a1 (AV pozitivy: 5/72 naskenováno 11/28/ )
Soubor SHA 2bcf63bbeefcd8d22fd17bb69e2a3c9cf (Datum: 11/06/ ) Soubor
SHA 35cfcbfc68caeaa79b39bea9fbe0ac38efda4 (Datum: 11/04/ ) Soubor
SHA 86cfbc7df36dfcdff8cca4c (Datum: 11/03/ )
Soubor SHA 8bcffdede68cadcc1acda2afc1fceac94ae (Datum: 10/31/ ) Soubor
SHA 3cabcfed53b2dfbdc3f3bcaa44eacff8e1bbbd86f4 (Datum: 10/25/ ) - zdroj
- Relevance síťového provozu
- 10/10
- Škodlivé artefakty související se sítí zjištěné v kontextu podrobností kontaktovaného hostitele
- Neobvyklé vlastnosti
- Obsahuje nativní volání funkcí
- Odkazy podezřelý systém moduly
- podrobnosti
- "autofekundace whank caponier pteromalid růžovo-teplý spaecle type-cast výdech Goody carceration nesouvislý Pangaro neprobuzený krátkobobed man-at-arms ungerminated inspirativně semipenniformní kevutzoth Arondell Hippurites Velchanos patashte bungler kalcioferrit koncordicky hladký latheman pyramus Hexabiblos contiating obligating precollapsibility cankerous subbroker polybazicita SACEUR gummous štíhlý jantra opiátproof ftanilové alkády nadměrný nájem vykřičník superglotický impersonalizace kakodoxický boj McAfee rebs konjugačně flotorický šovinismus uralo-finský aglomerát sakramentariát cathud stipula skleriasis Brocton resegregace bookers diafototropismus feltman maskmv Prog. autarkicky reaccredits Greiner hodnocení coincorporate nehybnost pomalost desiderantní nesporný nesprávně uvádějící reattire revets choloid kilometric vypuzené nahoty dobře sestupné afterroll zakalené neprimitivnost Elsass kolotoče tally-ho ústřicnost Strepsiceros impaktér nevyléčitelnost taurobolium e"
- zdroj
- Relevance souboru/paměti
- 5/10
- ATT&CK ID
- T (Zobrazit techniku v matici MITRE ATT&CK) Anti-Detection™
- /Stealthyness
- Anti-Reverse Engineering
- Možná kontroluje známé detaily ladicích programů/analytických nástrojů
- "-voiced Barack Protosphargis oligosyntetický lemovaný pas podkoš nos potápějící se do nosu různě kvetoucí loulu bendee oktávy spin-dry denticete nadměrná pozornost kunipuler sebestředný tankování mytizovat isuret sakristie trolldom nemechanický brotulid epigastrial phascaceous pyritic traducers harnesses závistivý nepošlapaný chráněnec Clift trichosporange gay-malovaný akule grundel nehodnosti mohutnost úzkostlivý Hagstrom chuligán Branchus cytotechnologie weewow nažloutlý kůže geometrický nedědičný pelagial vazal subcyaneous emulsoid zrušen kondenzovaně Fortuna accouche subproporcionální Irrisoridae cross-bias odřený nevkusně yont nabs triker aristo- scatch outyelled unridiculed eosin philonium gangava narc necrosing interownership-horší zacházení celnice-house sendviče crim. Briggsian outcrowing Annamarie Lucayan flubbers spellingdown Ruta ebons KAOS Whitsunday intra-uterine coinhabitor biopsycholog dispečerský nediafanusness mykostatický peklo jako uklidňující back-putty Blader monitorish afte" (Indikátor: "ntice")
- zdroj
- File/Memory
- relevance
- 2/10
- Možná kontroluje známé detaily ladicích programů/analytických nástrojů
- Obecné
- Instalace/Trvalost
- Související se
- vzdáleným přístupem Související
- Obsahuje indikátory komunikačních příkazů robota
- Podrobnosti Zdroj
- Relevance souboru/paměti
- 10/10
- ATT&CK ID
- T (Zobrazit techniku v matici MITRE ATT&CK) Anti-Reverse™
- Obsahuje indikátory komunikačních příkazů robota
- Engineering
- Povědomí o prostředí Obecné
-
- Kontakty
- podrobnosti o doménách
- ""
- zdroj
- Relevance síťového provozu
- 1/10
-
- Kontakty podrobnosti
- o serveru ""
- zdroj
- Relevance síťového provozu
- 1/10
- Obsahuje
- PDB cesty podrobnosti
- ""
- zdroj
- Relevance souboru/paměti
- 1/10
- Vytvoří
- podrobnosti o
- mutantech "\Sessions\1\BaseNamedObjects\Local\InternetShortcutMutex"
"Local\InternetShortcutMutex" - source
- Vytvořeno
- Mutant relevance
- 3/10
- Zaznamenaný skriptovací stroj volá
- podrobnosti
- "" s názvem "reateObject"
"" s názvem "XMLHTTPCreateObject"
"" s názvem "CreateObject" zdrojové - API Relevance volání
- 10/10
- Kontakty
- Instalace/Trvalost
- Obsahuje schopnost vyhledat podrobnosti o názvu účtu systému Windows
- GetUserNameW@ADVAPIDLL z (PID: ) (Zobrazit stream)
- zdroj
- Relevance technologie hybridní analýzy
- 5/10
- Otevře MountPointManager (často se používá k detekci dalších míst infekce)
- podrobnosti
- "" otevřeno "\Device\MountPointManager" zdrojové
- API Relevance volání
- volání 5/10
- Dotkne se souborů v adresáři Windows
- podrobnosti
- "" dotknutý soubor "%WINDIR%\SysWOW64\en-US\"
"" touched file "%WINDIR%\SysWOW64\"
"" touched file "%WINDIR%\SysWOW64\"
"" touched file "%WINDIR%\Globalization\Sorting\"
"" touched file "%WINDIR%\SysWOW64\"
"" touched file "%WINDIR%\SysWOW64\"
"" touched file "%WINDIR%\SysWOW64\en-US\"
"" touched file "%WINDIR%\SysWOW64\" - zdrojové
- volání API
- relevance
- 7/10
- Obsahuje schopnost vyhledat podrobnosti o názvu účtu systému Windows
- Související se sítí
- Nalezená potenciální adresa URL v
- binárních/podrobnostech paměti
- Heuristická shoda: ""
Heuristická shoda: "GET /wp-content/uploads//12/working/png HTTP/
Připojení: Keep-Alive
Přijmout: */*
Accept-Language: en-us
User-Agent: Windows
Host: " - source
- Relevance souboru/paměti
- 10/10
- Nalezená potenciální adresa URL v
- Spyware/vyhledávání informací
- Nalezen odkaz na známou komunitní stránku
- podrobnosti zdroj Relevance
-
- souboru/paměti
- 7/10
- Nalezen odkaz na známou komunitní stránku
- Neobvyklé vlastnosti
- Nainstaluje háčky/záplaty podrobnosti o běžícím procesu
- "" napsal bajty "d83ad" na virtuální adresu "0x74D" (součást modulu "")
"" zapsal bajty "b8ccffe0" na virtuální adresu "0x74DB4" (část modulu "")
"" zapsal bajty "" na virtuální adresu "0x75E" (část modulu "WS2_DLL")
"" zapsal bajty "ca3bcab8bffc8cccecdbfd26bf01" na virtuální adresu "0xC07E4" (součást modulu "USERDLL")
"" zapsal bajty "bd" na virtuální adresu "0x74DC" (součást modulu "")
"" zapsal bajty "d83ad" na virtuální adresu "0x74DFC" (část modulu "")
"" zapsal bajty "bcffe0" na virtuální adresu "0x74D33AD8" (část modulu "")
"" zapsal bajty "d83a" na virtuální adresu "0x74D34E38" (část modulu "")
"" zapsal bajty "d83a" do virtuální adresa "0x74D34D78" (součást modulu "")
"" zapsala bajty "d83ad" na virtuální adresu "0x74D" (součást modulu "")
"" zapsala bajty "bd" na virtuální adresu "0x74D" (součást modulu "")
"" zapsala bajty "c0dfcfccfdacdfc3edcdec6ebc6acccf31dcdc32d" na virtuální adresu "0x74ED" (součást modulu "")
"" zapsal bajty "bcffe0" na virtuální adresu "0x75E" (součást modulu "WS2_DLL")
"" zapsal bajty "bd" na virtuální adresu "0x74DE4" (část modulu "")
"" zapsal bajty "d83ad" na virtuální adresu "0x74DE0" (část modulu "")
"" zapsal bajty "bd" na virtuální adresu "0x74D" (část modulu "")
" " napsal bajt "c" na virtuální adresu "0xC" (část modulu "")
"" zapsal bajty "b" na virtuální adresu "0x74D34EA4" (součást modulu "")
"" zapsal bajty "b" na virtuální adresu "0x74D34D68" (součást modulu "") - zdroj
- Relevance detekce háčků
- 10/10
- ATT&CK ID
- T (Zobrazit techniku v matici MITRE ATT&CK™)
- Nainstaluje háčky/záplaty podrobnosti o běžícím procesu
Podrobnosti o souboru
Všechny podrobnosti:
Snímky obrazovky
Načítání obsahu, čekejte prosím
Tip pro hybridní analýzu
: Kliknutím na analyzovaný proces níže zobrazíte další podrobnosti.
Analyzováno celkem 1 proces (System Resource Monitor).
| Zaznamenaná volání skriptu | Protokolovaná stdout | Extrahované streamy Výpisy | paměti |
| Snížené monitorování | Aktivita sítě | Chyba sítě | Multiscan Match |
Analýza sítě
Požadavky DNS
Přihlášení ke stažení Požadavky DNS (CSV)