Mimikatz

Tegen GoldSparrow in Malware

Vertalen naar:

Mimikatz of Hacktool.Mimikatz is niet geclassificeerd als risicovolle tool, hoewel het een aanvaller toegang tot een machine kan geven door bepaalde mogelijkheden in een Windows-besturingssysteem te corrumperen. Wanneer een computer wordt aangevallen door Mimikatz, kunnen de controllers DLL's in willekeurige processen injecteren, beveiligingscertificaten exporteren, wachtwoorden in platte tekst van Windows herstellen, bepaalde aanmeldingen en beveiligingsservices uitschakelen, sommige rechten wissen en een paar groepsbeleidsinstellingen omzeilen.

Als u vermoedt dat Mimikatz uw computer heeft geïnfecteerd, is er een eenvoudige manier om dit te controleren: gebruik een speciale scanner omdat deze Mimikatz kan detecteren en verwijderen. Als u er echter niet door bent geïnfecteerd en maatregelen wilt nemen om infecties te voorkomen, zijn er enkele strategieën die u kunt implementeren, zoals het controleren van de bron en betrouwbaarheid van e-mails van een onbekende afzender, voorzichtig zijn bij het delen van bestanden, niet delen met veel informatie over instant messengers, die talloze problemen kunnen voorkomen, waaronder geïnfecteerd door ernstigere bedreigingen.

Inhoudsopgave

Analyse rapport

Algemene informatie

Family Name:	Trojan.Mimikatz
Signature status:	No Signature

Known Samples

MD5: 11ecb568da9cd1ff8d060914e85ff4bf

SHA1: 8965c2c8f55c5fe1a80b7fac7001bd5eb83304a4

SHA256: B2F9055DFD172B1C11BA01C121D3C37F27B3E48827D4562659796F8D4DFD4DF6

Bestandsgrootte: 1.19 MB, 1185280 bytes

MD5: 252525c8d6539a3aa97123afc2ddc687

SHA1: 1bf04ed6dc09a32a7861263e4fa24770681d1b4a

SHA256: 6E38131457328C9A93FF10DC0209718E4EFCA909621773301B52E83DBD1469A6

Bestandsgrootte: 235.52 KB, 235520 bytes

Windows Portable Executable Attributes

File doesn't have "Rich" header
File doesn't have debug information
File doesn't have exports table
File doesn't have resources
File doesn't have security information
File has exports table
File is .NET application
File is 32-bit executable
File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
File is either console or GUI application

File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
File is Native application (NOT .NET application)
File is not packed
IMAGE_FILE_DLL is not set inside PE header (Executable)
IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

Windows PE Version Information

Naam	Waarde
Assembly Version	1.0.0.0
File Description	SharpKatz
File Version	1.0.0.0
Internal Name	SharpKatz.exe
Legal Copyright	Copyright © 2020
Original Filename	SharpKatz.exe
Product Name	SharpKatz
Product Version	1.0.0.0

File Traits

.NET
Agile.net
CreateThread
CryptUnprotectData
dll
Fody
HighEntropy
ntdll
VirtualQueryEx
WriteProcessMemory

Block Information

Total Blocks:	257
Potentially Malicious Blocks:	189
Whitelisted Blocks:	64
Unknown Blocks:	4

Visual Map

0 0 0 0 x 0 0 0 x x x x x x x x 0 x x x x x x 0 x 0 x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 x ? 0 x x x x x x x x x x 0 x x x x x x x 0 x x x x x 0 x x x x x x x 0 0 0 0 0 0 0 0 0 0 0 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x 0 0 x x x x x x x x x x x x x x x x x x x x x x x x x x 0 0 x x x x x x x x x x x x x x x x x x ? x x x x x x x x x ? x x x x x x x x x x x x x x x x x 0 0 x x x x x x x x x x x x x x x x x x x x x x x x x x 0 0 ? x x x x 0 0 x x x x x 0 x 0 x x 0 0 0 0 0 0 0 0 0 0 0

0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

MSIL.SharpKatz.B
MSIL.SharpKatz.E

Windows API Usage

Category	API
Syscall Use	ntdll.dll!NtAdjustPrivilegesToken ntdll.dll!NtAlertThreadByThreadId ntdll.dll!NtAlpcConnectPortEx ntdll.dll!NtAlpcQueryInformation ntdll.dll!NtAlpcSendWaitReceivePort ntdll.dll!NtApphelpCacheControl ntdll.dll!NtAssociateWaitCompletionPacket ntdll.dll!NtCancelTimer2 ntdll.dll!NtCancelWaitCompletionPacket ntdll.dll!NtClearEvent Show More ntdll.dll!NtClose ntdll.dll!NtCompareSigningLevels ntdll.dll!NtCreateEvent ntdll.dll!NtCreateFile ntdll.dll!NtCreateIoCompletion ntdll.dll!NtCreateMutant ntdll.dll!NtCreatePrivateNamespace ntdll.dll!NtCreateSection ntdll.dll!NtCreateSemaphore ntdll.dll!NtCreateThreadEx ntdll.dll!NtCreateTimer2 ntdll.dll!NtCreateWaitCompletionPacket ntdll.dll!NtCreateWorkerFactory ntdll.dll!NtDeviceIoControlFile ntdll.dll!NtDuplicateObject ntdll.dll!NtEnumerateKey ntdll.dll!NtEnumerateValueKey ntdll.dll!NtFreeVirtualMemory ntdll.dll!NtGetCachedSigningLevel ntdll.dll!NtMapViewOfSection ntdll.dll!NtNotifyChangeKey ntdll.dll!NtOpenDirectoryObject ntdll.dll!NtOpenEvent ntdll.dll!NtOpenFile ntdll.dll!NtOpenKey ntdll.dll!NtOpenKeyEx ntdll.dll!NtOpenProcess ntdll.dll!NtOpenProcessToken ntdll.dll!NtOpenSection ntdll.dll!NtOpenThreadToken ntdll.dll!NtProtectVirtualMemory ntdll.dll!NtQueryAttributesFile ntdll.dll!NtQueryDebugFilterState ntdll.dll!NtQueryDefaultLocale ntdll.dll!NtQueryDirectoryFileEx ntdll.dll!NtQueryFullAttributesFile ntdll.dll!NtQueryInformationFile ntdll.dll!NtQueryInformationJobObject ntdll.dll!NtQueryInformationProcess ntdll.dll!NtQueryInformationThread ntdll.dll!NtQueryInformationToken ntdll.dll!NtQueryKey ntdll.dll!NtQueryLicenseValue ntdll.dll!NtQueryPerformanceCounter ntdll.dll!NtQuerySecurityAttributesToken ntdll.dll!NtQuerySecurityObject ntdll.dll!NtQuerySystemInformation ntdll.dll!NtQuerySystemInformationEx ntdll.dll!NtQueryValueKey ntdll.dll!NtQueryVirtualMemory ntdll.dll!NtQueryVolumeInformationFile ntdll.dll!NtQueryWnfStateData ntdll.dll!NtReadFile ntdll.dll!NtReadRequestData ntdll.dll!NtReleaseMutant ntdll.dll!NtReleaseWorkerFactoryWorker ntdll.dll!NtResumeThread ntdll.dll!NtSetEvent ntdll.dll!NtSetInformationFile ntdll.dll!NtSetInformationKey ntdll.dll!NtSetInformationProcess ntdll.dll!NtSetInformationThread ntdll.dll!NtSetInformationVirtualMemory ntdll.dll!NtSetInformationWorkerFactory ntdll.dll!NtSetTimer2 ntdll.dll!NtSubscribeWnfStateChange ntdll.dll!NtTestAlert ntdll.dll!NtTraceControl ntdll.dll!NtUnmapViewOfSection ntdll.dll!NtUnmapViewOfSectionEx ntdll.dll!NtUnsubscribeWnfStateChange ntdll.dll!NtWaitForAlertByThreadId ntdll.dll!NtWaitForSingleObject ntdll.dll!NtWaitForWorkViaWorkerFactory ntdll.dll!NtWorkerFactoryWorkerReady ntdll.dll!NtWriteFile ntdll.dll!NtWriteVirtualMemory UNKNOWN win32u.dll!NtUserGetKeyboardLayout win32u.dll!NtUserGetThreadState
Process Shell Execute	CreateProcess
Anti Debug	NtQuerySystemInformation
User Data Access	GetComputerNameEx GetUserDefaultLocaleName GetUserObjectInformation
Other Suspicious	AdjustTokenPrivileges

Shell Command Execution


							C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\8965c2c8f55c5fe1a80b7fac7001bd5eb83304a4_0001185280.,LiQMAxHB

Het faillissementsverzoek van de betalingsverwerker Digital River GmbH van EnigmaSoft heeft geen invloed op de anti-malwarebescherming van SpyHunter-klanten

Zoeken

Veranderen van regio

Mimikatz

Analyse rapport

Algemene informatie

Known Samples

Known Samples

Windows Portable Executable Attributes

Windows Portable Executable Attributes

Windows PE Version Information

Windows PE Version Information

File Traits

Block Information

Block Information

Visual Map

Similar Families

Similar Families

Windows API Usage

Windows API Usage

Shell Command Execution

Shell Command Execution

Commentaar toevoegen

Trending

CVE-2025-68668 n8n-kwetsbaarheid

Asyl Ransomware

MgBot-achterdeur

Meest bekeken

Hoe de fout 'Printerstuurprogramma is niet...

Discord toont zwart scherm bij delen van scherm

Hoe te repareren 'macOS kan niet verifiëren dat deze...