esentutl
Techniques Used |
||||
| Domain | ID | Name | Use | |
|---|---|---|---|---|
| Enterprise | T1564 | .004 | Hide Artifacts: NTFS File Attributes |
esentutl can be used to read and write alternate data streams.(Citation: LOLBAS Esentutl) |
| Enterprise | T1003 | .003 | OS Credential Dumping: NTDS |
esentutl can copy `ntds.dit` using the Volume Shadow Copy service.(Citation: LOLBAS Esentutl)(Citation: Cary Esentutl) |
Groups That Use This Software |
||
| ID | Name | References |
|---|---|---|
| G0114 | Chimera |
(Citation: NCC Group Chimera January 2021) |
| G1032 | INC Ransom |
(Citation: SentinelOne INC Ransomware) (Citation: SOCRadar INC Ransom January 2024) |
| G0045 | menuPass |
(Citation: FireEye APT10 Sept 2018) |
References
- Microsoft. (2016, August 30). Esentutl. Retrieved September 3, 2019.
- Cary, M. (2018, December 6). Locked File Access Using ESENTUTL.exe. Retrieved September 5, 2019.
- LOLBAS. (n.d.). Esentutl.exe. Retrieved September 3, 2019.
- Jansen, W . (2021, January 12). Abusing cloud services to fly under the radar. Retrieved September 12, 2024.
- SentinelOne. (n.d.). What Is Inc. Ransomware?. Retrieved June 5, 2024.
- SOCRadar. (2024, January 24). Dark Web Profile: INC Ransom. Retrieved June 5, 2024.
- Matsuda, A., Muhammad I. (2018, September 13). APT10 Targeting Japanese Corporations Using Updated TTPs. Retrieved September 17, 2018.
- Red Canary. (2021, March 31). 2021 Threat Detection Report. Retrieved August 31, 2021.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.