ID: Cookbook: browseurl.jbs Time: 16:58:45 Date: 04/06/2018 Version:

Size: px

Start display at page:

Download "ID: Cookbook: browseurl.jbs Time: 16:58:45 Date: 04/06/2018 Version:"

Augustus Weaver
6 years ago
Views:

1 ID: Cookbook: browseurl.jbs Time: 16:58:45 Date: 04/06/2018 Version:

2 Table of Contents Analysis Report Overview General Information Detection Confidence Classification Analysis Advice Signature Overview AV Detection: Phishing: Networking: Remote Access Functionality: System Summary: HIPS / PFW / Operating System Protection Evasion: Behavior Graph Simulations Behavior and APIs Antivirus Detection Initial Sample Dropped Files Unpacked PE Files Domains URLs Yara Overview Initial Sample PCAP (Network Traffic) Dropped Files Memory Dumps Unpacked PEs Joe Sandbox View / Context IPs Domains ASN Dropped Files Screenshots Startup Created / dropped Files Contacted Domains/Contacted IPs Contacted Domains Contacted URLs Contacted IPs Public Static File Info No static file info Network Behavior Network Port Distribution TCP Packets UDP Packets DNS Queries DNS Answers HTTP Request Dependency Graph Table of Contents Copyright Joe Security LLC 2018 Page 2 of

3 HTTP Packets Code Manipulations Statistics Behavior System Behavior Analysis iexplore.exe PID: 3696 Parent PID: 548 General File Activities Registry Activities Analysis iexplore.exe PID: 3792 Parent PID: 3696 General File Activities Registry Activities Disassembly Code Analysis Copyright Joe Security LLC 2018 Page 3 of 37

4 Analysis Report Overview General Information Joe Sandbox Version: Analysis ID: Start time: 16:58:45 Joe Sandbox Product: CloudBasic Start date: Overall analysis duration: Hypervisor based Inspection enabled: Report type: Cookbook file name: Sample URL: 0h 4m 20s light browseurl.jbs Analysis system description: Windows 7 SP1 (with Office 2010 SP2, IE 11, FF 54, Chrome 60, Acrobat Reader DC 17, Flash 26, Java ) Number of analysed new started processes analysed: 4 Number of new started drivers analysed: 0 Number of existing processes analysed: 0 Number of existing drivers analysed: 0 Number of injected processes analysed: 0 Technologies Analysis stop reason: Detection: Classification: HCA enabled EGA enabled HDC enabled Timeout MAL mal56.phis.troj.win@3/23@8/2 HCA Information: Successful, ratio: 100% Number of executed functions: 0 Number of non-executed functions: 0 EGA Information: HDC Information: Cookbook Comments: Failed Failed Adjust boot time Correcting counters for adjusted boot time Browsing link: cmd=login_submit&id=f9 921b14e9211a087e ac6878 f9921b14e9211a087e ac68 78&session=f9921b14e9211a0 87e ac6878f9921b14e9211 a087e ac6878# Browsing link: cmd=login_submit&id=f9 921b14e9211a087e ac6878 f9921b14e9211a087e ac68 78&session=f9921b14e9211a0 87e ac6878f9921b14e9211 a087e ac6878# Warnings: Show All Exclude process from analysis (whitelisted): WmiPrvSE.exe, dllhost.exe Execution Graph export aborted for target iexplore.exe, PID 3792 because there are no executed function Report size getting too big, too many NtDeviceIoControlFile calls found. Report size getting too big, too many NtOpenKeyEx calls found. Report size getting too big, too many NtProtectVirtualMemory calls found. Report size getting too big, too many NtQueryValueKey calls found. Detection Copyright Joe Security LLC 2018 Page 4 of 37

Strategy Score Range Reporting Detection Threshold 56

5 Strategy Score Range Reporting Detection Threshold Report FP / FN Confidence Strategy Score Range Further Analysis Required? Confidence Threshold Classification Copyright Joe Security LLC 2018 Page 5 of 37

Ransomware Miner Spreading malicious malicious malicious Evader

Exploiter Banker Spyware Trojan / Bot Adware Analysis Advice

longer working Sample has a GUI, but Joe Sandbox has not found

behavior Signature Overview Detection AV Phishing Networking

6 Ransomware Miner Spreading malicious malicious malicious Evader Phishing suspicious suspicious suspicious clean clean clean Exploiter Banker Spyware Trojan / Bot Adware Analysis Advice Sample HTTP request are all non existing, likely the sample is no longer working Sample has a GUI, but Joe Sandbox has not found any clickable buttons, likely more UI automation may extend behavior Signature Overview Detection AV Phishing Networking Access Functionality Remote System Summary Copyright Joe Security LLC 2018 Page 6 of 37

7 HIPS / PFW / Operating System Protection Evasion Click to jump to signature section AV Detection: Antivirus detection for dropped file Phishing: None HTTPS page querying sensitive user data (password, username or ) HTML body contains number of good links HTML title does not match URL Suspicious form URL found META author tag missing META copyright tag missing Networking: Social media urls found in memory data Downloads files Downloads files from webservers via HTTP Found strings which match to known social media urls Performs DNS lookups Tries to download non-existing http data (HTTP/ Not Found) Urls found in memory or binary data Remote Access Functionality: Contains strings related to BOT control commands System Summary: Classification label Creates files inside the user directory Creates temporary files Reads ini files Spawns processes Uses an in-process (OLE) Automation server Found graphical window changes (likely an installer) Uses new MSVCR Dlls HIPS / PFW / Operating System Protection Evasion: Copyright Joe Security LLC 2018 Page 7 of 37

May try to detect the Windows Explorer process (often used for injection) Behavior Graph Behavior Graph ID: 62529 URL: http://hyperurl.

8 May try to detect the Windows Explorer process (often used for injection) Behavior Graph Behavior Graph ID: URL: Startdate: 04/06/2018 Architecture: WINDOWS Score: 56 Legend: Process Signature Created File DNS/IP Info Is Dropped Is Windows Process Hide Legend Antivirus detection for dropped file None HTTPS page querying sensitive user data (password, username or ) Contains strings related to BOT control commands started Number of created Registry Values Number of created Files Visual Basic Delphi iexplore.exe Java.Net C# or VB.NET 7 37 C, C++ or other language Is malicious started iexplore.exe 2 24 kolomna-doors.ru hyperurl.co , 49173, 49174, HOSTLANDRU Russian Federation , 49171, 49172, 80 AMAZON-AES-AmazoncomIncUS United States dropped C:\Users\user\AppData\Local\...\algoni[1].htm, assembler Simulations Behavior and APIs Time Type Description 16:59:24 API Interceptor 376x Sleep call for process: iexplore.exe modified Antivirus Detection Initial Sample Source Detection Scanner Label Link 1% virustotal Browse Dropped Files Source Detection Scanner Label Link C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E2PG59K Z\algoni[1].htm 100% Avira PHISH/Agent.ewqra Copyright Joe Security LLC 2018 Page 8 of 37

9 Unpacked PE Files No Antivirus matches Domains Source Detection Scanner Label Link hyperurl.co 4% virustotal Browse kolomna-doors.ru 0% virustotal Browse 0% virustotal Browse URLs Source Detection Scanner Label Link 1% virustotal Browse Yara Overview Initial Sample No yara matches PCAP (Network Traffic) No yara matches Dropped Files No yara matches Memory Dumps No yara matches Unpacked PEs No yara matches Joe Sandbox View / Context IPs No context Domains No context ASN No context Dropped Files No context Copyright Joe Security LLC 2018 Page 9 of 37

$exe (PID: 3792 cmdline: '' SCODEF:3696 CREDAT:275457 /prefetch:2 CA1F703CD665867E8132D2946FB55750) cleanup Created / dropped Files C:\Users\SAMTAR~1\AppData\Local\Temp\~DF76A4345F527BC62F.$

10 Screenshots Startup System is w7 iexplore.exe (PID: 3696 cmdline: '' -Embedding CA1F703CD665867E8132D2946FB55750) iexplore.exe (PID: 3792 cmdline: '' SCODEF:3696 CREDAT: /prefetch:2 CA1F703CD665867E8132D2946FB55750) cleanup Created / dropped Files C:\Users\SAMTAR~1\AppData\Local\Temp\~DF76A4345F527BC62F.TMP FoxPro FPT, blocks size 258, next free block index Size (bytes): Entropy (8bit): C1175E9FA5ACE1883F E3304BD58C645DD64CA F CADF 36564B3F80C8B269350E8A124CC4A3D880598E8F6E7B69388FE94B2A52B99BCB C30A1FF4B2EA A7A14E20C526653AB56D98676A87078CD3A9D7E60A1B48DCD430484FA17A74907E26E3D7 7303A9557B37C353117FE32B8F4575B3D6288 Copyright Joe Security LLC 2018 Page 10 of 37

11 C:\Users\SAMTAR~1\AppData\Local\Temp\~DF76A4345F527BC62F.TMP C:\Users\SAMTAR~1\AppData\Local\Temp\~DF888817D964D54F93.TMP data Size (bytes): Entropy (8bit): CEA8B34C41E96107CDCBA97E336 A9B428582DF6003DDC3A9A31FF4ECA0F7686BE02 D4A1426D1F31FFF19FAE27F460F7E5819D7F34FCD363A7EABDEABCCDA7442CCD FE31E391D528D E1D18CD3D60C63ADE85286E532A45E02BBA DE98C696D49C2ECA2AD35918D1 200CAD1C42B062137FDBA07EE8C63BB57D08C6 C:\Users\SAMTAR~1\AppData\Local\Temp\~DFDBF8EA911F37739C.TMP FoxPro FPT, blocks size 258, next free block index Size (bytes): Entropy (8bit): A194B1A5344E1173EC785372F3AA0B1 B8D925A1BBFA80A8857A8C8AA03C34F338C24CCC C1B9CA8A8E497021A2AE429462C311273AAF6735E2BB54F1B242210C3B AF A053145AF821D1CEECE7D297E93FF0D A2B8E39323C575A4061A9334E96A718D8BB 259D93BFD3D9EE6B4CE226D320CFCD71C9E5 C:\Users\user\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\57C8EDB95DF3F0AD4EE2DC2B8CFD4157 Size (bytes): Entropy (8bit): Microsoft Cabinet archive data, 6509 bytes, 1 file B95F90C3BEA1D0E7ECA664B8FA01A720 A2ED44DF03C6971C0A7C335ECEF8D996D6BC0652 D82B D19804D73473CE65D84C4F7D64E453041A9B30CF96C738AA0C 4DB9F495F3B3E39D89685FEDD1F0C715E3C3B0D FB3F51D2B454943E7AC34B1F871C435299B799FCAF3F8 13DAA3BB67C33B221D27C721CCF0F4D67C033 C:\Users\user\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\6BADA8974A10C4BD62CC921D13E43B18_BEB37ABADF B E0 4 data Size (bytes): 471 Entropy (8bit): F0210FCA CC216A E2 D10B86C6F353C30D98B55BFCAADD40E7D493397C 397AD878DB2D20AFD65BA634252E B089E1C9526BD D1221F9 C5CA0CE0D36CB0716ECC6E37F96C261EF4E992C6C6B03D7EF703252D5494DE7AAFB222089C8BEC0A52ECD39D CF B994898E994C7D29C8C513BB690DA C:\Users\user\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\57C8EDB95DF3F0AD4EE2DC2B8CFD4157 data Size (bytes): 684 Entropy (8bit): FF29D2B7D061EFE4A72FF3B123BA6B3 Copyright Joe Security LLC 2018 Page 11 of 37

12 C:\Users\user\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\57C8EDB95DF3F0AD4EE2DC2B8CFD ED276253FD3524DEC16EB39E6B0E00DE773CDE AF1673BF66163CC5514C1B3A07523D DB62297E135AC47402B3A F94855E655106F74663D34A3DE1E1C3AC0C533DF4FACA3D42161E29CFCAB8DDCEE8B634C04E04450BDFAE F0EAB34DADC9BC06DAAB7E0E32B8630CF83633F C:\Users\user\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\6BADA8974A10C4BD62CC921D13E43B18_BEB37ABADF B E04 data Size (bytes): 434 Entropy (8bit): DB2C57EFD327028DF573EDC5C3BAD336 9E7B1C567C7B3E6A3A98BBAC21AB6ACCEE13DCD0 AE442211D7AD83D1DDBD9E502E3CDDC6C09C8D CCE2C4AF58ADC7D1D41 AB425E18BB1EB2CE60D B5CB9A3BA4BFAF3F2F25D09F5647BE9886F52E266DA248FCB84779EF64582ED 5CC45762FE38D804535C53A626EDF5B82625A7E C:\Users\user\AppData\LocalLow\Microsoft\Internet Explorer\Services\search_{0633EE93-D f-A0FF-E1416B8B2E3A}.ico Size (bytes): 237 Entropy (8bit): PNG image data, 16 x 16, 4-bit colormap, non-interlaced 9FB559A E77D F6541 EA13848D33C2C7F4F4BAA39348AEB1DBFAD3DF31 6D8A01DC7647BC218D003B58FE04049E24A B7E0CEBAE76EDF85B8B914 0E CD123BE8A20B87D9A3AAF5CB05249DE7F8286FF99D3FA35FC7AF7A9D9797DD6EFB6D1E722147DCF B74437DE D0009D452FB96A8ECE236B C:\Users\user\AppData\Local\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{DE112F E8-B3E3-CCDA62336E41}.dat Size (bytes): Microsoft Word Document Entropy (8bit): EA2924CA4E0A53AFBCB50BA5F34F56 1D225D5875C669BD2CC A2DA68CDE2689B EB6B0741ED6B7B73D90F93ACC7081AC427105A F8C0C7B7597B6A4C34B 300BA652C8460ECC7D735B04A52A6CE3BDFC666B0FFF3C6E F94D7C6BA339CC154CC550959CEAB E49DBE167936F C064C2CA6E1B19A7 C:\Users\user\AppData\Local\Microsoft\Internet Explorer\Recovery\High\Active\{DE112F E8-B3E3-CCDA62336E41}.dat Size (bytes): Microsoft Word Document Entropy (8bit): A50AC6DCC77B6F E29B0DE9 5DA8F5B3939A7521AC0C F3963A6C61FF9 8B4FF59AACAA75348C0036E0BFFDD2BC068E81EA6754E40223CAA73D4455CCC7 58F109DE372428C79FD5C23A1E583F999717D6FC295083B05E8C38D88B CD24FC7F5D515A5E1B83F1BFB 60DFA0E6DEB078469F171302C6D3BF8C6894F C:\Users\user\AppData\Local\Microsoft\Internet Explorer\Recovery\High\Active\{E7B E8-B3E3-CCDA62336E41}.dat Copyright Joe Security LLC 2018 Page 12 of 37

13 C:\Users\user\AppData\Local\Microsoft\Internet Explorer\Recovery\High\Active\{E7B E8-B3E3-CCDA62336E41}.dat Size (bytes): Microsoft Word Document Entropy (8bit): E5085B41BA DD2B27BB0B26E 7FF5F4A20E1B9A0A5D3F332FAF9DD1BB4DD8AC3D 8FD8E26785EC317DE AAFEFA70BCFC492165B3E4ADB469FB85694A0EA EA38AC462BA3A2E71D BC BAFD7880F6F4CC59118B2D CF2114EC21FADE2191E B2A241EBCAABD5299A7F069F69393F49F C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9CMFZC4R\favicon[1].htm Size (bytes): 1849 Entropy (8bit): HTML document, ASCII text, with very long lines 35996EF1C7CE98C54C3A135206A4BDD5 C49AB8947F6C E923A0F44352A5C35FD B644E342FC8D8EDDDBB01DF4BA08F5CE58F874F94DC66A7A F4098D11A E6767E3DCB4D CA E9926C611F6618CC869FFB80C5F A D9B0E8375 B18E5A3A8CD547DAC8B98CD54D22DA576A6 C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9CMFZC4R\favicon[2].ico Size (bytes): 237 Entropy (8bit): PNG image data, 16 x 16, 4-bit colormap, non-interlaced 9FB559A E77D F6541 EA13848D33C2C7F4F4BAA39348AEB1DBFAD3DF31 6D8A01DC7647BC218D003B58FE04049E24A B7E0CEBAE76EDF85B8B914 0E CD123BE8A20B87D9A3AAF5CB05249DE7F8286FF99D3FA35FC7AF7A9D9797DD6EFB6D1E722147DCF B74437DE D0009D452FB96A8ECE236B C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9CMFZC4R\igma1[1].png Size (bytes): 6602 Entropy (8bit): PNG image data, 1349 x 69, 8-bit/color RGBA, non-interlaced 11E1AFCB5B8B06B7672E12B8358CD7CC C04178B963893A0B5E5666CD0300D58428EDC3CA D18FF1F C4C3CA60F70CADF5F304C93663E2ECD4A75F0023E918EE67EC 5294E F9F8E45AE412B0B273D30320FA41DAE44F3797C A73BD40D77ED790664DFE4F791 B9AFFF443241B760CBD E1664CBD0D C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E2PG59KZ\algoni[1].htm Size (bytes): 3442 assembler source text Entropy (8bit): FEFB16EC801D7D47A1002EC3DAB4B5C8 3F73A60E9BF8C5BAF95F0442E649AF29F9639EE3 F7A80B5B EF36FCF30C9C3BCB8CB74DBAEE1EC47DEFB8E DE9 A18E7AA7765C1A3B9EE0385A136C1B51802BB4FCE1B77E2468C96119FA4D9F8E8B883E562C63E4FDB38D87F08F F7A65B88E32C6E6E F38FEAD40C7E8D8 true Copyright Joe Security LLC 2018 Page 13 of 37

14 C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E2PG59KZ\algoni[1].htm Antivirus: Antivirus: Avira, Detection: 100%, Browse C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E2PG59KZ\igma2[1].png Size (bytes): Entropy (8bit): PNG image data, 532 x 370, 8-bit/color RGBA, non-interlaced 19C90E7E30656E11CC0E51CD D0CFA9DD9B0F52CBC7CEC510C2805DE898628E EF906CF714160AC58BEF42E60A1EA75A8F68BB70EF4A959A1AAF BE 7861ABC6E24CE3E76D3F6A02F646415D3E5FC5B6496DBBD5525CD382CB0FBD55BB145D93C3EF1D39FE77F256C 138B1CE618846ED64B F3AE43 C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ULEAKRVD\igma3[1].png Size (bytes): 914 Entropy (8bit): PNG image data, 300 x 37, 8-bit/color RGBA, non-interlaced A2A52B27EBA21F8D98A7EB9AE67962E3 53D EDD57D7FE9F6C3D0E3EDA6787E D6B8B070C7878D9E8C66F5258E4FB3B5EE142AE8D D4798CA1C6F BE4AFDA43122C59CDB7A52D0028DE7B15903F806ABC496AAA8FB462C14929AF79988EBF1CD50F332EF40068A9 E37142F0D00EB3C409FC FAD5CA84DEFF C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ULEAKRVD\igma4[1].png Size (bytes): Entropy (8bit): PNG image data, 1345 x 661, 8-bit/color RGBA, non-interlaced FF38A5CA3AAE4478EF67036ADD59D372 14B1059B99183ACFABC A0954B2CAB924 91CBF536DCC9895D25413BBDD A793F68AFAD18582AF19A E F5A5530CF47D4E8472C896A02F73A89258F978CC68F5A7AD7EB7588B870C9A797E6EC5D5F1E634EDB509A31DBA B E8AB97EA C069D1C245EF00E C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ULEAKRVD\igma5[1].png Size (bytes): 1188 Entropy (8bit): PNG image data, 139 x 23, 8-bit/color RGBA, non-interlaced D0BA8000F01444AFA23C1B63D303040A 6BED64BAE5756E5DF1A FAC18F0F8A1C3E 95DAB2087C6F5C6266BBE82DC6AADCBA47868CCD7797B3C971AE422443AFDC9A 15EF98C614B1A6C65A1ED5062A514930D134C8D15C7E2EEE9B51DE4EBD3CE313EBFC5188FCC5459C A3649ACAEEDEC DB31F67C120FDAA35 C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ULEAKRVD\igma6[1].png PNG image data, 246 x 18, 8-bit/color RGBA, non-interlaced Size (bytes): 1756 Entropy (8bit): D D78A425EFA2FDDFFC89F Copyright Joe Security LLC 2018 Page 14 of 37

15 C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ULEAKRVD\igma6[1].png CE9C804289C9BE CD5062DD6DBD79E87EA F91FA5E2EDB890F8D03759D1DDCB600EE883D9E4C46CC0F3F8BCCF05667ED0CC A0A5132AC8CAA42F15A9BF03425FF28CAC83C6CD2FA7103B72347AE8E089CACA63BE9ACEB3A383BF1D0 63FAFB2985E8BA9F2F22DF2476E38F2BEB6C0E8 C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\1M2QE38U.txt Size (bytes): 285 ASCII text Entropy (8bit): AE0936D603B29FC5C280EA3DCAEF0 834EF41DF15C0692D0C44A1D7807F4BAAF822D62 9C974A90AB F16EB83D62E6D94D7974E2B5EB8DE2CA3E069 9A1C26B9C1D8D6D03DA29A86A B77508C9216E0A111CA101DF4846C C60ACC E9FEF2C E B5D F05C8236C4B6F30 C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\NM74F6E3.txt Size (bytes): 377 ASCII text Entropy (8bit): A17194F5D F68F0A1E99 4E1A CC933BE9B0A575B0F11F C00BE9E744B37BB26E3BB985ACFDDA415D7054D7F51E913E435257F53F9F A3B48E0A2FD305C50FD5C0C C89FCC4F891563B FCB034B378D8627A395C61B52206D136C BCDEE901833D43DBBA8D49251EFE C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\WVVLL99B.txt Size (bytes): 192 ASCII text Entropy (8bit): EA31F58ED43DE27F31A865F804E8F78 5C29C5061AAC5F C87821CEB23786B09E E1001E4BB02CC99C82E2A970CDEA5CEF0BB0CDDC379661BF52DB3E1A C8F51D694C4D052C0F2C6580A7B52E9931CF3C E982A63DF DE734FD0ED1195E9C2AAEC1C88 FBAC0A9E5C04F9A63FC A80AEEBA6D0 Contacted Domains/Contacted IPs Contacted Domains Name IP Active Malicious Antivirus Detection Reputation hyperurl.co true 4%, virustotal, Browse high kolomna-doors.ru true true 0%, virustotal, Browse unknown unknown unknown 0%, virustotal, Browse high Contacted URLs Name Process Copyright Joe Security LLC 2018 Page 15 of 37

16 Name a087e ac6878&session=f9921b14e9211a087e ac6878f9921b14e9211a087e ac6878 Process Contacted IPs No. of IPs < 25% 25% < No. of IPs < 50% 50% < No. of IPs < 75% 75% < No. of IPs Public IP Country Flag ASN ASN Name Malicious Russian Federation HOSTLANDRU true United States AMAZON-AES-AmazoncomIncUS Static File Info No static file info Network Behavior Network Port Distribution Copyright Joe Security LLC 2018 Page 16 of 37

17 Total Packets: (HTTP) 53 (DNS) TCP Packets Timestamp Source Port Dest Port Source IP Dest IP 16:59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST Copyright Joe Security LLC 2018 Page 17 of 37

18 Timestamp Source Port Dest Port Source IP Dest IP 16:59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST Copyright Joe Security LLC 2018 Page 18 of 37

19 Timestamp Source Port Dest Port Source IP Dest IP 16:59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST Copyright Joe Security LLC 2018 Page 19 of 37

20 Timestamp Source Port Dest Port Source IP Dest IP 16:59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST Copyright Joe Security LLC 2018 Page 20 of 37

21 Timestamp Source Port Dest Port Source IP Dest IP 16:59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST Copyright Joe Security LLC 2018 Page 21 of 37

22 Timestamp Source Port Dest Port Source IP Dest IP 16:59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST Copyright Joe Security LLC 2018 Page 22 of 37

23 Timestamp Source Port Dest Port Source IP Dest IP 16:59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST Copyright Joe Security LLC 2018 Page 23 of 37

24 Timestamp Source Port Dest Port Source IP Dest IP 16:59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST :59: CEST Copyright Joe Security LLC 2018 Page 24 of 37

ID: Cookbook: browseurl.jbs Time: 11:59:06 Date: 14/05/2018 Version:

ID: Cookbook: browseurl.jbs Time: 11:59:06 Date: 14/05/2018 Version: ID: 5945 Cookbook: browseurl.jbs Time: 11:59:06 Date: 14/05/201 Version: 22.0.0 Table of Contents Table of Contents Analysis Report Overview General Information Detection Confidence Classification Analysis